Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Сервер 1с словил вирус-шифровальщик. Остальные компьютеры в локальной сети были проверены, данный вирус туда не попал.

На рабочем столе было 5 окон с одним из стандартных сообщений о шифровании данных и связи по эл. почте для из расшифровке.

Во вложении 1. пример зашифрованного файла, 2. архив с предполагаемым телом вируса (winhost.exe - расширение изменено на .virus). 3. архив с логом системы.

Помогите расшифровать данные, если это возможно

Winhost.virus.rar Поддержка.txt.id-C25CA468.[r3ad4@aol.com].r3f5s CollectionLog-2020.06.11-16.23.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

Сделайте логи из обычного режима. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Economist\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Economist\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не закрывайте пожалуйста тему, логи загружу сегодня-завтра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
18.06.2020 в 08:51, mike 1 сказал:

Сделайте новые логи Автологгером. 

Добрый день!

Скрипт выполнил,CollectionLog-2020.07.17-09.36.zip новые логи во вложении

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От praktik
      Здравствуйте, у меня та же проблема. Вирус зашифровал содержимое сетевых дисков общего пользования, системный диск и другой локальный диск остались нетронутыми.  А почему расшифровки этого варианта CryLock не появится? А если использовать для рашифровки сохранившиеся незашифрованные оригиналы файлов? У меня таких сохранилось очень много, для примера прикрепляю зашифрованный файл и оригинал.
      files.zip
    • От Мирослав Боднар
      Скачал файл для антивируса, и через какое-то время на экране появилась запись что зашифрованы данные и у меня есть 7 дней чтобы им перевести деньги и мне расшифруют, ниже прикреплю логи и архив с 2-мя заражёнными файлами и txt файлом, который появился на рабочем столе от злоумышленников
      Wannacash.rar Addition.txt FRST.txt
       
      Сообщение от модератора kmscom тема перенесена из раздела https://forum.kasperskyclub.ru/forum/158-pravila-razdela-i-otvety-na-chastye-voprosy/  
    • От fab6
      Здравствуйте! Вот и мы попались. Зловред залез через RDP. Успел наделать страшного. Буду крайне признателен за любую помощь.
      1Cv7.MD[flydragon@mailfence.com][sel4ru].rar 1SOPER.CDX[flydragon@mailfence.com][sel4ru].rar how_to_decrypt.rar
    • От NilKad
      Помогите с расшифровкой, лечить комп не собираюсь будет переустановка.
      files.zip scan.zip
×
×
  • Создать...