• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите! Зацепил email-3nity@tuta.io.ver-CS 1.6.id

dorowa

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
"Зашифрованы" файлы на удаленном сервере, доступ только по RDP. Сервер перегружался. Первично была запущена проверка стандартным дефендером и утилитой дрвеб, ничего не найдено.

В архиве FRST.txt и Addition.txt
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,595
Реакции
1,860
Баллы
563
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к следующему сообщению.
Затем соберите и прикрепите свежие логи FRST.
 

dorowa

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к следующему сообщению.
Затем соберите и прикрепите свежие логи FRST.
Готово
В архиве файлы
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,595
Реакции
1,860
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Documents\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Desktop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\Roaming\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\LocalLow\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\develop\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000778 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000778 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000061 _____ C:\ProgramData\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,983
Реакции
13,570
Баллы
2,203
++KVRT удалил сам шифровальщик.
 

dorowa

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Documents\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Desktop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\Roaming\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\LocalLow\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\develop\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000778 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000778 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000061 _____ C:\ProgramData\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Подробнее читайте в этом руководстве.
Готово
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,595
Реакции
1,860
Баллы
563
Некоторое время подождите и не удаляйте папку C:\FRST
 

dorowa

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Вот еще пара rtf-зашифрованый
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,983
Реакции
13,570
Баллы
2,203
В разумное время создать "лекарство" для версии 1.6. невозможно. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, может они что-то придумали... если будет положительный ответ от них, отпишитесь в своей теме. Спасибо
 
Сверху Снизу