• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер. Зашифрован комп - omg@onlinehelp.host ].harma Нужна помощь.

Статус
В этой теме нельзя размещать новые ответы.

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Гугля по этому поводу ничего внятного не сказала. DR WEB отреагировал только на один файл (фото прилагается).
Подскажите или можно расшифровать инфу?
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,096
Реакции
13,215
Баллы
2,203
По харме без вариантом пока.
 

akok

Команда форума
Администратор
Сообщения
19,096
Реакции
13,215
Баллы
2,203
Вам бы сервер обновить.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VurusTotal: H:\WINDOWS\System32\1sqb.exe;
    HKU\S-1-5-18\...\RunOnce: [] => [X]
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\Buhgalter\Рабочий стол\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
    ContextMenuHandlers1: [ANotepad++] -> {00F3C2EC-A6EE-11DE-A03A-EF8F55D89593} => H:\Program Files\Notepad++\NppShell_06.dll -> No File
    ContextMenuHandlers1: [FRHEAddInContextMenu10.FRHEAddInContextMenu10.1] -> {95CF7ACA-9F00-4789-8C3B-797AD701B1AD} => H:\Program Files\ABBYY FineReader 10 Home Edition\SprintIntegration.dll -> No File
    ContextMenuHandlers1: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
Добрый день. Сервер клиентский, старенький. Пароли стандартные admin - admin , ужас. А можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,515
Реакции
2,027
Баллы
643
Компьютер перезагрузите вручную
Перегружали?

можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
Вероятнее всего через RDP. Как вы сами заметили, пароль слабый.
 

serg_KS

Новый пользователь
Сообщения
21
Реакции
1
Баллы
13
да, перезагрузил после frst fix
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,515
Реакции
2,027
Баллы
643
Удалите старые и соберите заново FRST.txt и Addition.txt
 

akok

Команда форума
Администратор
Сообщения
19,096
Реакции
13,215
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу