• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки подхватил вирус шифровальщик 1.xls[CS 1.7.0.1][corpseworm@protonmail.com].hkl

Статус
В этой теме нельзя размещать новые ответы.
Здравствуйте!

Подготовьте логи по правилам.

Предупрежу сразу, расшифровки скорее всего нет.
 
вот логи и зашифрованные фаилы
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\Downloads\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\Documents\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\Desktop\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\Roaming\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\tr\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Public\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\LocalLow\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Public\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\kolesovml\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Downloads\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Downloads\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Program Files\README.txt
    2019-11-13 20:32 - 2019-11-13 20:32 - 000000096 _____ C:\Program Files\Common Files\README.txt
    2019-11-13 20:31 - 2019-11-13 20:31 - 000000096 _____ C:\Users\README.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Пароли на RDP смените.
 
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 
антивирусами нужно делать сканирование?
 
Для какой цели?
 
Нет, ни активного заражения, ни его следов больше в логах нет.
 
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу