• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки подхватил вирус шифровальщик 1.xls[CS 1.7.0.1][corpseworm@protonmail.com].hkl

miska512

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
помогите пожалуйста с вирусом шифровальщиком 1.xls[CS 1.7.0.1][corpseworm@protonmail.com].hkl
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Здравствуйте!

Подготовьте логи по правилам.

Предупрежу сразу, расшифровки скорее всего нет.
 

miska512

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
вот логи и зашифрованные фаилы
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\Downloads\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\Users\tr\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:47 - 2019-11-13 20:47 - 000000096 _____ C:\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\Documents\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\Desktop\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\Roaming\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\README.txt
    2019-11-13 20:46 - 2019-11-13 20:46 - 000000096 _____ C:\Users\tr\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\tr\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\ReportServer$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Public\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\Nata\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\LocalLow\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Local\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Downloads\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Documents\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\Desktop\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\Roaming\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\README.txt
    2019-11-13 20:45 - 2019-11-13 20:45 - 000000096 _____ C:\Users\kolesovml\AppData\LocalLow\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Public\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\kolesovml\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Downloads\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Downloads\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Documents\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\ProgramData\Desktop\README.txt
    2019-11-13 20:44 - 2019-11-13 20:44 - 000000096 _____ C:\Program Files\README.txt
    2019-11-13 20:32 - 2019-11-13 20:32 - 000000096 _____ C:\Program Files\Common Files\README.txt
    2019-11-13 20:31 - 2019-11-13 20:31 - 000000096 _____ C:\Users\README.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Пароли на RDP смените.
 

miska512

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
лог после проверки
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 

miska512

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
антивирусами нужно делать сканирование?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Для какой цели?
 

miska512

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
ну вдруг зараза эта осталась?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Нет, ни активного заражения, ни его следов больше в логах нет.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сверху Снизу