• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки id-EAAFF879.[decrypthelp@qq.com].arrow

Статус
В этой теме нельзя размещать новые ответы.

Lunik

Ветеран
Сообщения
774
Реакции
284
Зашифровало файлы, как он попал люди не сознаются.
Есть ли возможность расшифровки. Спасибо
[automerge]1524916256[/automerge]
DrWebTrojan.Encoder.3953 нашел файлик исполняемый
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,220
Реакции
2,477
Здравствуйте!

Пока соберите логи по правилам: https://safezone.cc/decryption-rules/
Выкладывайте только то, что требует консультант.
 

Lunik

Ветеран
Сообщения
774
Реакции
284
Готова
 

Вложения

  • CollectionLog-2018.04.28-17.46.zip
    75.1 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,220
Реакции
2,477
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAAFF879.[decrypthelp@qq.com].arrow
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.CommonStartup (2018/04/28) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Nadejda^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.Startup (2018/04/28) (file missing)
O4 - MSConfig\startupreg: 1task.exe [command] = C:\Users\Nadejda\AppData\Roaming\1task.exe  (file missing) (HKLM) (2018/04/28)
O22 - Task: {749EBFE3-9A08-482F-99E6-FC576A06023C} - C:\Windows\system32\pcalua.exe -a "E:\TuneUp Utilities 2009 8.0.1100 Rus\TuneUp Utilities 2009 (Русский).exe.exe" -d "E:\TuneUp Utilities 2009 8.0.1100 Rus"

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Lunik

Ветеран
Сообщения
774
Реакции
284
Готова
 

Вложения

  • Addition.txt
    35.4 KB · Просмотры: 1
  • FRST.txt
    32.9 KB · Просмотры: 1
  • Shortcut.txt
    29.5 KB · Просмотры: 0

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,417
Реакции
13,903
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-3659596815-3252145837-2968998876-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    AlternateDataStreams: C:\Users\Nadejda:id [32]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по всему помочь в расшифровке не получится. Разве, что попробовать ShadowExplorer или программами для восстановления данных вернуть часть файлов. Шанс конечно мизерный, но попробовать стоит.
 

Lunik

Ветеран
Сообщения
774
Реакции
284
Так как компьютер уже отсутствует. Скрипт не могу выполнить. ShadowExplorer Не поможет так как все Теневые копии затерты.
Благо Пользователь оказался заподозрив неладное выдернул шнур питание) потери составили 10% всего и то не особо важных файлов.
Тему можно закрыть Спасибо за помощь.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,417
Реакции
13,903
Печаль. Во время эры шифровальщиков, бекапы наше все.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу