• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Поймали WTF2000@cock.li

Статус
В этой теме нельзя размещать новые ответы.

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Зашифровал данные на одном клиентском компе и на сервере 1С.
Восстановили часть из архивов - пожрал снова.
Как изловить? Одноранговая сеть на примерно 20 компов.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,366
Реакции
2,095
Баллы
643
Расшифровки этого типа вымогателя нет, будет только зачистка следов.

Если не самостоятельно ставили
Process Hacker 2.39 (r124)
деинсталлируйте.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,366
Реакции
2,095
Баллы
643
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-26] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\User\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-07-25 14:51 - 2019-07-26 11:32 - 000000164 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,366
Реакции
2,095
Баллы
643
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Готово. Комп от интернета отключен, все операции провожу оффлайн
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,911
Реакции
14,005
Баллы
2,203
Комп от интернета отключен, все операции провожу оффлайн
Базы утилиты староваты, но исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.2.49.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 5.2.0 (64-bit) v.5.2.0 Внимание! Скачать обновления
Foxit Reader v.8.3.2.25013 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ IM ] ----------------------------------
Skype™ 5.8 v.5.8.158 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

TDG

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Вирус зашифровал все, включая исполняемые файлы.
Программы не работают так как не запускаются.
Видимо придется форматировать
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,366
Реакции
2,095
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу