Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

 

Зашифровало почти все, куда можно было добраться. Комп Windows 7, права администратора только у 1 пользователя, под ним вход не был выполнен. Комп используется как сервер для 1С, подключаются по RDP. Каким-то образом создался еще 1 пользователь с правами администратора, и я так подозреваю, что от его имени был запущен процесс шифровки. Прогнал весь  комп DrWeb Curent it, ничего не нашел.

Можно это расшифровать?

FRST.txt Addition.txt зашифрованные файлы.zip

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно, пожалуйста, проделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы  WinRAR или  7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да"
    .


Подробнее читайте в руководстве Как подготовить лог UVS.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От WhoIsIt
      Добрый день.
       
      Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:
      "Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com
      В ТЕМЕ письма укажите ваш ID: хххххххххх
      Письма без указания ID игнорируются.
      Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
      Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
      Приобрести декриптор можно до хх.хх.хххх
      Заявки обрабатываются автоматической системой".
       
      Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.
       
      Прошу помочь дешифровать информацию на компьютере.
       
      CollectionLog-2017.01.16-11.23.zip
×
×
  • Создать...