-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена без расшифровки Trojan.Encoder.3953 зашифрованы все файлы [259461356@qq.com]
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Для этого вымогателя пока нет способа дешифровки данных. Можно попробовать восстановить базы 1с (смотрите подпись). ++ пароли на RDP смените
Политики сами настраивали?
Подробнее читайте в этом руководстве.
Политики сами настраивали?
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-11-11] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13913 2020-11-11] () [File not signed] HKLM\...\Run: [C:\Users\Manager17\AppData\Roaming\Info.hta] => C:\Users\Manager17\AppData\Roaming\Info.hta [13913 2020-11-11] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-11-10] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-11-11] () [File not signed] Startup: C:\Users\Manager17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-11-11] () [File not signed] Startup: C:\Users\Manager17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-11-11] () [File not signed] Startup: C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-31] () [File not signed] 2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ C:\Windows\system32\Info.hta 2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ C:\Users\Manager17\AppData\Roaming\Info.hta 2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Manager17\Desktop\FILES ENCRYPTED.txt 2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\FILES ENCRYPTED.txt 2020-11-11 13:29 - 2020-11-11 13:29 - 000094720 _____ () C:\Users\Manager17\AppData\Roaming\.259.exe 2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ () C:\Users\Manager17\AppData\Roaming\Info.hta C:/Users/Manager17/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => No File ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers6-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File FirewallRules: [{384CFB45-0528-4D23-B3E4-EC994E3E175F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => No File FirewallRules: [{6A3D71F0-CB08-4496-A285-F28B26109CDC}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => No File FirewallRules: [TCP Query User{88FE76F2-DF5D-4E16-9C09-57EEF03E420B}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe => No File FirewallRules: [UDP Query User{64A98EB1-2650-4456-B605-24A9E1A0F280}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe => No File FirewallRules: [TCP Query User{F833A508-88F8-41C2-AC8F-DDD51FEDB7F2}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe => No File FirewallRules: [UDP Query User{213A98BF-88D8-45CB-970A-334B2775F89D}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe => No File FirewallRules: [TCP Query User{AC6E9DDC-D46D-4247-B7AF-B90C8E27606F}\\192.168.1.3\files\казаков а\version4\teamviewer.exe] => (Allow) \\192.168.1.3\files\казаков а\version4\teamviewer.exe => No File FirewallRules: [UDP Query User{1B372411-0464-4114-8E60-135473CBC39C}\\192.168.1.3\files\казаков а\version4\teamviewer.exe] => (Allow) \\192.168.1.3\files\казаков а\version4\teamviewer.exe => No File FirewallRules: [TCP Query User{55C45FFF-30F8-4324-8193-6C6B84304623}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe => No File FirewallRules: [UDP Query User{91915D0B-0553-4130-88E4-E87CD8F05545}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe => No File FirewallRules: [{C11B9CA7-6A92-4CE4-A13B-E03185B8F087}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe => No File FirewallRules: [{4FAF38E8-9C96-42F1-9FDB-9F50A483441E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File FirewallRules: [{5C5DED37-B4D0-46EA-88A0-0AE353AE7155}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File FirewallRules: [{3CFC19D4-B059-4E64-A04F-450B6C11A0EF}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File FirewallRules: [{017AB188-C10C-4A3F-9DDE-779EE7F77E15}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File irewallRules: [TCP Query User{E5537C5D-FFC4-45C5-AFC6-D4B435C9945A}C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe => No File FirewallRules: [UDP Query User{C60D2EEF-9669-4461-ACA7-2C0F43104202}C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe => No File FirewallRules: [TCP Query User{FD3CD6D4-6543-41A5-BEBB-C32FD79B8FEB}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe => No File FirewallRules: [UDP Query User{D081D900-0069-4B00-9819-F50EE51093C8}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe => No File FirewallRules: [{0EB546A6-D6DE-4552-A7A4-E49F0716FCD7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File FirewallRules: [{83F94771-CBE4-4EE2-81BA-1AC807F10187}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File FirewallRules: [{E46F98D3-ED3B-4369-88AE-B2856DE7B0E9}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File FirewallRules: [{33191DCF-E04D-4A6A-8CCD-D26EFBB142B2}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File FirewallRules: [TCP Query User{A8521418-52CC-4D26-A263-5B2937245754}C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe => No File FirewallRules: [UDP Query User{834F8022-6BB7-4D94-8D67-71206E131738}C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe => No File FirewallRules: [TCP Query User{996043A9-8659-4703-89D6-2734F019330C}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File FirewallRules: [UDP Query User{25ECFAE3-62C9-4EBC-9E37-FB5A0440D285}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File FirewallRules: [TCP Query User{BBDE5791-8AA7-4D96-9660-72CDA0B40AEA}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe => No File FirewallRules: [UDP Query User{80D85675-26D6-4BBF-A567-12297122F9E0}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe => No File FirewallRules: [TCP Query User{576EC039-AE3E-4428-969D-3A432201DBC3}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File FirewallRules: [UDP Query User{F6F040B8-3164-4C3B-9883-950DF299F909}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File FirewallRules: [{D15149C0-C51F-4DEF-B4EF-F007C5901B36}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File FirewallRules: [{A0A7658F-FEEE-418B-A9CB-8DB4F4FBE456}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File FirewallRules: [{674EF2DA-59BD-498D-9552-68B95A07ADEA}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File FirewallRules: [{4A59EA2A-579E-4190-987C-C7D4C2454356}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File FirewallRules: [{023104C7-0AAF-4CE5-8940-FFF0D400C19F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File FirewallRules: [{4D3EDF6D-8EA0-4310-818E-C102A01264E6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File FirewallRules: [{F1954691-28A6-473A-B096-BE10870E71E1}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File FirewallRules: [{F09747E4-7141-4F9E-AEEB-6A366253D6EE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File FirewallRules: [{FDCD917A-6E2C-46AD-BC50-CCCBA949723D}] => (Allow) C:\AnyDesk.exe => No File FirewallRules: [{6D02095F-C9CC-41A2-935C-47C230A12592}] => (Allow) C:\AnyDesk.exe => No File FirewallRules: [{D8B2076E-50F7-481A-B3F1-4C5F5CE6C557}] => (Allow) C:\AnyDesk.exe => No File FirewallRules: [{01502A0A-6A8C-4CB8-8655-A59056036396}] => (Allow) C:\AnyDesk.exe => No File FirewallRules: [{0C46B7FB-5E8F-43C0-B7B4-17AF524A4E6F}] => (Allow) C:\Program Files\Opera\71.0.3770.284\opera.exe => No File FirewallRules: [{A8D44529-73B5-4B71-BD6D-5B8E962EAA8F}] => (Allow) C:\Program Files\Opera\72.0.3815.186\opera.exe => No File FirewallRules: [{674FC01B-F87F-4407-B609-1BFF4393B699}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => No File End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Вы не тот прикрепили.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Проверьте уязвимые места:
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Поработать есть над чем:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.2.2756 Внимание! Скачать обновления
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 4.7.5 (Full) v.4.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.86.0.4240.183 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 72.0.3815.186 v.72.0.3815.186 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Антивирус установите.
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.2.2756 Внимание! Скачать обновления
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 4.7.5 (Full) v.4.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.86.0.4240.183 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 72.0.3815.186 v.72.0.3815.186 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Антивирус установите.
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
- Сообщения
- 16,835
- Решения
- 1
- Реакции
- 3,516
Тут как повезёт. Но может случиться, что и не появится вообще.
