• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки id-EAAFF879.[decrypthelp@qq.com].arrow

  • Автор темы Автор темы Lunik
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Lunik

Команда форума
Модератор
Сообщения
1,203
Решения
5
Реакции
359
Зашифровало файлы, как он попал люди не сознаются.
Есть ли возможность расшифровки. Спасибо

DrWebTrojan.Encoder.3953 нашел файлик исполняемый
 
Последнее редактирование модератором:
Здравствуйте!

Пока соберите логи по правилам: https://safezone.cc/decryption-rules/
Выкладывайте только то, что требует консультант.
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAAFF879.[decrypthelp@qq.com].arrow
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.CommonStartup (2018/04/28) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Nadejda^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.Startup (2018/04/28) (file missing)
O4 - MSConfig\startupreg: 1task.exe [command] = C:\Users\Nadejda\AppData\Roaming\1task.exe  (file missing) (HKLM) (2018/04/28)
O22 - Task: {749EBFE3-9A08-482F-99E6-FC576A06023C} - C:\Windows\system32\pcalua.exe -a "E:\TuneUp Utilities 2009 8.0.1100 Rus\TuneUp Utilities 2009 (Русский).exe.exe" -d "E:\TuneUp Utilities 2009 8.0.1100 Rus"

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Готова
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-3659596815-3252145837-2968998876-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    AlternateDataStreams: C:\Users\Nadejda:id [32]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по всему помочь в расшифровке не получится. Разве, что попробовать ShadowExplorer или программами для восстановления данных вернуть часть файлов. Шанс конечно мизерный, но попробовать стоит.
 
Так как компьютер уже отсутствует. Скрипт не могу выполнить. ShadowExplorer Не поможет так как все Теневые копии затерты.
Благо Пользователь оказался заподозрив неладное выдернул шнур питание) потери составили 10% всего и то не особо важных файлов.
Тему можно закрыть Спасибо за помощь.
 
Печаль. Во время эры шифровальщиков, бекапы наше все.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу