• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер. Зашифрован комп - omg@onlinehelp.host ].harma Нужна помощь.

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Гугля по этому поводу ничего внятного не сказала. DR WEB отреагировал только на один файл (фото прилагается).
Подскажите или можно расшифровать инфу?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
По харме без вариантом пока.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Вам бы сервер обновить.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VurusTotal: H:\WINDOWS\System32\1sqb.exe;
    HKU\S-1-5-18\...\RunOnce: [] => [X]
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\Buhgalter\Рабочий стол\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
    ContextMenuHandlers1: [ANotepad++] -> {00F3C2EC-A6EE-11DE-A03A-EF8F55D89593} => H:\Program Files\Notepad++\NppShell_06.dll -> No File
    ContextMenuHandlers1: [FRHEAddInContextMenu10.FRHEAddInContextMenu10.1] -> {95CF7ACA-9F00-4789-8C3B-797AD701B1AD} => H:\Program Files\ABBYY FineReader 10 Home Edition\SprintIntegration.dll -> No File
    ContextMenuHandlers1: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Добрый день. Сервер клиентский, старенький. Пароли стандартные admin - admin , ужас. А можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Компьютер перезагрузите вручную
Перегружали?

можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
Вероятнее всего через RDP. Как вы сами заметили, пароль слабый.
 

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
да, перезагрузил после frst fix
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Удалите старые и соберите заново FRST.txt и Addition.txt
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Сверху Снизу