• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. email-3nity@tuta.io.ver-CS 1.6.id-.fname

Статус
В этой теме нельзя размещать новые ответы.

fizik2007

Новый пользователь
Сообщения
8
Реакции
0
windows server 2003
пошифровало все файлы
прошу помощи.
Прикрепляю лог и пару файлов.
Спасибо.
 

Вложения

  • CollectionLog-2019.07.28-11.52.zip
    114.6 KB · Просмотры: 3
  • proforma 785.rar
    374.8 KB · Просмотры: 3
После шифрования систему перезагружали?
 
думаю, да. И сейчас диск подключен к другому системнику.
 
ааа, тогда эта система у вас тоже с заразой.
 
спасибо, что предупредили. AVZ могу прокрутить и избавиться от неё?
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{66913329-6691-6691-669133294546}\csrss.exe','');
 QuarantineFile('c:\programdata\{66913329-6691-6691-669133294546}\csrss.exe','');
 DeleteFile('c:\programdata\{66913329-6691-6691-669133294546}\csrss.exe','32');
 DeleteSchedulerTask('Microsoft LocalManager [2728713721]');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Теперь по поводу зашифрованных файлов. Ключи подобрать удалось. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 
1564306243300.png

ошибка запуска скрипта
 
Нужно использовать ту версию которая лежит в папке автологера, вы скачали устаревшую версию.
 
Все получилось, как написали выше. Спасибо.
Отсылаю файлы отчетов.
 

Вложения

  • Addition.txt
    92.2 KB · Просмотры: 1
  • FRST.txt
    97.5 KB · Просмотры: 1
Политики хрома настраивали?
Какое содержимо
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {88900685-0CCC-4657-8A98-5D901CB9D374} - System32\Tasks\Microsoft LocalManager [2728713721] => C:\ProgramData\{17801696-1780-1780-178016966579}\csrss.exe [3760640 2018-11-25] (DJMASTER.COM) [File not signed] <==== ATTENTION
    C:\ProgramData\{17801696-1780-1780-178016966579}\csrss.exe
    2019-07-28 13:05 - 2019-07-28 13:05 - 000003646 _____ C:\Windows\System32\Tasks\Microsoft LocalManager [2728713721]
    2019-07-28 13:05 - 2019-07-28 13:05 - 000000000 __SHD C:\Users\Все пользователи\{17801696-1780-1780-178016966579}
    2019-07-28 13:05 - 2019-07-28 13:05 - 000000000 __SHD C:\ProgramData\{17801696-1780-1780-178016966579}
    2019-07-28 12:41 - 2019-07-28 12:43 - 000000000 __SHD C:\Users\Все пользователи\{26672780-2667-2667-266727807482}
    2019-07-28 12:41 - 2019-07-28 12:43 - 000000000 __SHD C:\ProgramData\{26672780-2667-2667-266727807482}
    2019-07-28 12:27 - 2019-07-28 12:37 - 000000000 __SHD C:\Users\Все пользователи\{49274521-4927-4927-492745218899}
    2019-07-28 12:27 - 2019-07-28 12:37 - 000000000 __SHD C:\ProgramData\{49274521-4927-4927-492745218899}
    2019-07-26 11:53 - 2019-07-28 12:33 - 000000000 __SHD C:\Users\Все пользователи\{47924017-4792-4792-479240175850}
    2019-07-26 11:53 - 2019-07-28 12:33 - 000000000 __SHD C:\ProgramData\{47924017-4792-4792-479240175850}
    2019-07-25 08:28 - 2019-07-26 11:56 - 000000000 __SHD C:\Users\Все пользователи\{05226883-0522-0522-052268837899}
    2019-07-25 08:28 - 2019-07-26 11:56 - 000000000 __SHD C:\ProgramData\{05226883-0522-0522-052268837899}
    2019-07-24 08:23 - 2019-07-24 08:23 - 000000000 __SHD C:\Users\Все пользователи\{55805445-5580-5580-558054452579}
    2019-07-24 08:23 - 2019-07-24 08:23 - 000000000 __SHD C:\ProgramData\{55805445-5580-5580-558054452579}
    2019-07-23 09:25 - 2019-07-23 09:25 - 000000000 __SHD C:\Users\Все пользователи\{13435277-1343-1343-134352775327}
    2019-07-23 09:25 - 2019-07-23 09:25 - 000000000 __SHD C:\ProgramData\{13435277-1343-1343-134352775327}
    2019-07-22 08:53 - 2019-07-22 08:53 - 000000000 __SHD C:\Users\Все пользователи\{58453169-5845-5845-584531699914}
    2019-07-22 08:53 - 2019-07-22 08:53 - 000000000 __SHD C:\ProgramData\{58453169-5845-5845-584531699914}
    2019-07-21 21:29 - 2019-07-21 21:34 - 000000000 __SHD C:\Users\Все пользователи\{06226417-0622-0622-062264176199}
    2019-07-21 21:29 - 2019-07-21 21:34 - 000000000 __SHD C:\ProgramData\{06226417-0622-0622-062264176199}
    2019-07-21 12:22 - 2019-07-21 12:52 - 000000000 __SHD C:\Users\Все пользователи\{92102707-9210-9210-921027073089}
    2019-07-21 12:22 - 2019-07-21 12:52 - 000000000 __SHD C:\ProgramData\{92102707-9210-9210-921027073089}
    2019-07-18 20:50 - 2019-07-18 20:50 - 000000000 __SHD C:\Users\Все пользователи\{63019446-6301-6301-630194461074}
    2019-07-18 20:50 - 2019-07-18 20:50 - 000000000 __SHD C:\ProgramData\{63019446-6301-6301-630194461074}
    2019-07-18 08:24 - 2019-07-18 08:24 - 000000000 __SHD C:\Users\Все пользователи\{98571720-9857-9857-985717206919}
    2019-07-18 08:24 - 2019-07-18 08:24 - 000000000 __SHD C:\ProgramData\{98571720-9857-9857-985717206919}
    2019-07-17 10:15 - 2019-07-17 10:15 - 000000000 __SHD C:\Users\Все пользователи\{17202611-1720-1720-172026110250}
    2019-07-17 10:15 - 2019-07-17 10:15 - 000000000 __SHD C:\ProgramData\{17202611-1720-1720-172026110250}
    2019-07-16 08:45 - 2019-07-16 08:45 - 000000000 __SHD C:\Users\Все пользователи\{78019361-7801-7801-780193611428}
    2019-07-16 08:45 - 2019-07-16 08:45 - 000000000 __SHD C:\ProgramData\{78019361-7801-7801-780193611428}
    2019-07-15 08:56 - 2019-07-15 08:56 - 000000000 __SHD C:\Users\Все пользователи\{18522555-1852-1852-185225558129}
    2019-07-15 08:56 - 2019-07-15 08:56 - 000000000 __SHD C:\ProgramData\{18522555-1852-1852-185225558129}
    2019-07-13 08:45 - 2019-07-13 08:50 - 000000000 __SHD C:\Users\Все пользователи\{10182173-1018-1018-101821732896}
    2019-07-13 08:45 - 2019-07-13 08:50 - 000000000 __SHD C:\ProgramData\{10182173-1018-1018-101821732896}
    2019-07-12 11:18 - 2019-07-12 11:23 - 000000000 __SHD C:\Users\Все пользователи\{61791061-6179-6179-617910613741}
    2019-07-12 11:18 - 2019-07-12 11:23 - 000000000 __SHD C:\ProgramData\{61791061-6179-6179-617910613741}
    2019-07-10 09:13 - 2019-07-21 18:57 - 000000000 __SHD C:\Users\Все пользователи\{41973066-4197-4197-419730669222}
    2019-07-10 09:13 - 2019-07-21 18:57 - 000000000 __SHD C:\ProgramData\{41973066-4197-4197-419730669222}
    2019-07-10 08:57 - 2019-07-10 08:57 - 000000000 __SHD C:\Users\Все пользователи\{16493819-1649-1649-164938192942}
    2019-07-10 08:57 - 2019-07-10 08:57 - 000000000 __SHD C:\ProgramData\{16493819-1649-1649-164938192942}
    2019-07-09 23:38 - 2019-07-09 23:38 - 000000000 __SHD C:\Users\Все пользователи\{63727645-6372-6372-637276456258}
    2019-07-09 23:38 - 2019-07-09 23:38 - 000000000 __SHD C:\ProgramData\{63727645-6372-6372-637276456258}
    2019-07-09 11:39 - 2019-07-09 11:39 - 000000000 __SHD C:\Users\Все пользователи\{55396539-5539-5539-553965394154}
    2019-07-09 11:39 - 2019-07-09 11:39 - 000000000 __SHD C:\ProgramData\{55396539-5539-5539-553965394154}
    2019-07-09 11:34 - 2019-07-09 11:34 - 000000000 __SHD C:\Users\Все пользователи\{00799429-0079-0079-007994298375}
    2019-07-09 11:34 - 2019-07-09 11:34 - 000000000 __SHD C:\ProgramData\{00799429-0079-0079-007994298375}
    2019-07-08 08:48 - 2019-07-08 08:48 - 000000000 __SHD C:\Users\Все пользователи\{48117048-4811-4811-481170482467}
    2019-07-08 08:48 - 2019-07-08 08:48 - 000000000 __SHD C:\ProgramData\{48117048-4811-4811-481170482467}
    2019-07-07 11:39 - 2019-07-07 11:39 - 000000000 __SHD C:\Users\Все пользователи\{48884191-4888-4888-488841915605}
    2019-07-07 11:39 - 2019-07-07 11:39 - 000000000 __SHD C:\ProgramData\{48884191-4888-4888-488841915605}
    2019-07-05 08:08 - 2019-07-05 08:08 - 000000000 __SHD C:\Users\Все пользователи\{47811869-4781-4781-478118698874}
    2019-07-05 08:08 - 2019-07-05 08:08 - 000000000 __SHD C:\ProgramData\{47811869-4781-4781-478118698874}
    2019-07-05 03:03 - 2019-07-05 03:03 - 000000000 __SHD C:\Users\Все пользователи\{24246706-2424-2424-242467067467}
    2019-07-05 03:03 - 2019-07-05 03:03 - 000000000 __SHD C:\ProgramData\{24246706-2424-2424-242467067467}
    2019-07-04 08:21 - 2019-07-04 08:21 - 000000000 __SHD C:\Users\Все пользователи\{88613196-8861-8861-886131965998}
    2019-07-04 08:21 - 2019-07-04 08:21 - 000000000 __SHD C:\ProgramData\{88613196-8861-8861-886131965998}
    2019-07-02 09:01 - 2019-07-02 09:01 - 000000000 __SHD C:\Users\Все пользователи\{38802749-3880-3880-388027490591}
    2019-07-02 09:01 - 2019-07-02 09:01 - 000000000 __SHD C:\ProgramData\{38802749-3880-3880-388027490591}
    2019-07-01 22:37 - 2019-07-01 22:37 - 000000000 __SHD C:\Users\Все пользователи\{72654315-7265-7265-726543153704}
    2019-07-01 22:37 - 2019-07-01 22:37 - 000000000 __SHD C:\ProgramData\{72654315-7265-7265-726543153704}
    2019-06-30 17:42 - 2019-06-30 17:42 - 000000000 __SHD C:\Users\Все пользователи\{30977446-3097-3097-309774469074}
    2019-06-30 17:42 - 2019-06-30 17:42 - 000000000 __SHD C:\ProgramData\{30977446-3097-3097-309774469074}
    2019-06-29 17:13 - 2019-06-29 17:13 - 000000000 __SHD C:\Users\Все пользователи\{31330321-3133-3133-313303211718}
    2019-06-29 17:13 - 2019-06-29 17:13 - 000000000 __SHD C:\ProgramData\{31330321-3133-3133-313303211718}
    2019-06-29 17:02 - 2019-06-29 17:02 - 000000000 __SHD C:\Users\Все пользователи\{54255663-5425-5425-542556632560}
    2019-06-29 17:02 - 2019-06-29 17:02 - 000000000 __SHD C:\ProgramData\{54255663-5425-5425-542556632560}
    2019-06-29 16:02 - 2019-06-29 16:02 - 000000000 __SHD C:\Users\Все пользователи\{09983131-0998-0998-099831314667}
    2019-06-29 16:02 - 2019-06-29 16:02 - 000000000 __SHD C:\ProgramData\{09983131-0998-0998-099831314667}
    2019-06-29 15:56 - 2019-06-29 15:56 - 000000000 __SHD C:\Users\Все пользователи\{01478998-0147-0147-014789982129}
    2019-06-29 15:56 - 2019-06-29 15:56 - 000000000 __SHD C:\ProgramData\{01478998-0147-0147-014789982129}
    2019-06-29 14:08 - 2019-06-29 14:08 - 000000000 __SHD C:\Users\Все пользователи\{07132563-0713-0713-071325639386}
    2019-06-29 14:08 - 2019-06-29 14:08 - 000000000 __SHD C:\ProgramData\{07132563-0713-0713-071325639386}
    2019-06-29 13:40 - 2019-06-29 13:40 - 000000000 __SHD C:\Users\Все пользователи\{97469858-9746-9746-974698580371}
    2019-06-29 13:40 - 2019-06-29 13:40 - 000000000 __SHD C:\ProgramData\{97469858-9746-9746-974698580371}
    2019-06-29 13:32 - 2019-06-29 13:32 - 000000000 __SHD C:\Users\Все пользователи\{68365206-6836-6836-683652066678}
    2019-06-29 13:32 - 2019-06-29 13:32 - 000000000 __SHD C:\ProgramData\{68365206-6836-6836-683652066678}
    2019-06-29 13:27 - 2019-06-29 13:27 - 000000000 __SHD C:\Users\Все пользователи\{65316222-6531-6531-653162222782}
    2019-06-29 13:27 - 2019-06-29 13:27 - 000000000 __SHD C:\ProgramData\{65316222-6531-6531-653162222782}
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
готово. Прогонял kvrt дважды по 3 часа.
 

Вложения

  • Fixlog.txt
    16.9 KB · Просмотры: 1
  • Reports.rar
    7.9 KB · Просмотры: 1
Тут все. Отпишитесь по результатам расшифровки и отмечу тему решенной.
 
Скиньте, пожалуйста, ссылку на покупку электронной версии лицензии KAV на 1 комп (для Украины)?! Спасибо.
 
Файлы расшифрованы. Вопрос решён. Спасибо.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу