Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Сервер 1с словил вирус-шифровальщик. Остальные компьютеры в локальной сети были проверены, данный вирус туда не попал.

На рабочем столе было 5 окон с одним из стандартных сообщений о шифровании данных и связи по эл. почте для из расшифровке.

Во вложении 1. пример зашифрованного файла, 2. архив с предполагаемым телом вируса (winhost.exe - расширение изменено на .virus). 3. архив с логом системы.

Помогите расшифровать данные, если это возможно

Winhost.virus.rar Поддержка.txt.id-C25CA468.[r3ad4@aol.com].r3f5s CollectionLog-2020.06.11-16.23.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Economist\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Economist\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
  • 3 weeks later...
18.06.2020 в 08:51, mike 1 сказал:

Сделайте новые логи Автологгером. 

Добрый день!

Скрипт выполнил,CollectionLog-2020.07.17-09.36.zip новые логи во вложении

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От kav999
      Добрый день, если есть возможность расшифровки файла шифровальщиком 59461356@qq.com помогите пожалуйста, сам файл изначально был архивом с измененным расширением и запаролен.
      Возможно ли убрать как либо способом шифровальщик. Спасибо
       
       
    • От Близнец
      Здравствуйте!
      Подцепили вчера точно такого же шифровальщика.
      Видать через RDP.
      База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • От megabublik
      Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...
       

      CollectionLog-2020.10.29-11.48.zip
    • От Romantryagain
      Здравствуйте, несколько дней назад комп начал виснуть, решил авз скачать проверить, он мне выдал что-то там о backdoor win32, поэтому решил обратиться к вам за помощью, прилагаю лог.
      CollectionLog-2020.10.27-15.47.zip
    • От Рома_Пресскард
      Доброго дня.
      Компьютер у которого закрыты все порты кроме RDP зашифровал вирус. Пароли не 123 конечно же.
      Приложить лог Farbar Recovery Scan Tool нет возможности, сервер не запускается.
      Вытянули файлы, прикладываю 2 зашифрованых файла и текстовый с требованиями.
      Помогите с расшифровкой пожалуйста.
      1Cv77.zip
×
×
  • Создать...