• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. вирус шифровальщик

Статус
В этой теме нельзя размещать новые ответы.

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Прошу помочь в расшифровке файлов на ПК. 01.07.19г был атакован шифровальщиком, все файла переименовались (email-3nity@tuta.io.ver-CS 1.6.id-.fname-подача заявки.url.cs16)
С уважением Алексей
 

Вложения

  • FRST.txt
    29.5 KB · Просмотры: 1
  • Addition.txt
    39.6 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,827
Реакции
13,588
Баллы
2,203
Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Файл. Jpg с поврежденного ПК и не поврежденного
 

Вложения

  • 594537-1600x900.rar
    390.7 KB · Просмотры: 1
  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-594537-1600x900.jpg.rar
    391.5 KB · Просмотры: 1

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Файл пдф
 

Вложения

  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-№01376 Беларускалий-Агро Новополесский.xls.rar
    68.3 KB · Просмотры: 1
  • №01376 Беларускалий-Агро Новополесский.rar
    167.6 KB · Просмотры: 0

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
файл World
 

Вложения

  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-ответ на притензию пропуска.doc.rar
    50.2 KB · Просмотры: 1
  • ответ на притензию пропуска.rar
    46.6 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,827
Реакции
13,588
Баллы
2,203
Отличная новость, эту версию можно расшифровать. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 

akok

Команда форума
Администратор
Сообщения
19,827
Реакции
13,588
Баллы
2,203
Remote Manipulator System - ваше?
Пересмотрите список администраторов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-29 18:01 - 2019-06-29 18:01 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-29 18:07 - 2019-06-29 18:07 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-29 17:59 - 2019-06-29 17:59 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-29 18:04 - 2019-06-29 18:04 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-29 20:20 - 2019-06-29 20:20 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\README.txt
    2019-06-29 20:18 - 2019-06-29 20:18 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\Microsoft\README.txt
    2019-06-29 20:15 - 2019-06-29 20:15 - 000000061 _____ () C:\Users\Алексей\AppData\Local\README.txt
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{A70DE273-F07B-4041-AAB5-8AA3CA9B38DB}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Server\rutserv.exe No File
    FirewallRules: [{D89FEEE5-FB6C-4D36-8A89-E1A4A914A2E7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{53083884-F3D5-46BC-921B-39C9F4B5BEC7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{DBABD2D2-8CD5-40AA-88CF-9396D3168F39}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{F6DD00BE-F2D2-429A-8D67-EFB9344695BA}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{384FB6C2-3159-41C6-86F4-166F24EE498E}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{0F0CF17B-7E78-46C3-BEBA-CC373E77DE7D}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{5A450AFC-0131-4579-B445-F3A1B10CD2F9}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{ACF5C70B-0D99-493C-953D-3D8BB83A2CB7}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{7A319836-E8E0-41B7-9ACB-A3189EF7C022}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [{D569E59F-08B1-4BFB-A1F2-A7D0695CDECD}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [FSRM-SrmReports-In (RPC)] => (Allow) %systemroot%\system32\srmhost.exe No File
    FirewallRules: [{940CA3EC-03CC-4EA8-95B0-6A0FFAD95CFB}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{BDA4DD29-1DE7-4E93-9F1E-6CD3880FABC1}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{46E0F047-BD25-46DA-A04A-0FE6492CBD3D}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{33B800B2-95F4-44C1-8CCC-DA5BF6C0FD5E}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{6FAAE664-F558-464F-8359-574FF9373B53}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{F9A33FF6-B8C3-4E13-8C03-85EFD1CB5FF7}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{C89DBDAA-45EF-40AC-B02D-50154C81BE0A}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{072D744D-FD9F-432A-8EFA-544A5DC27DDB}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{C4A35B50-54B9-4208-BEC1-FDE6E8F14E2D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{580EAF78-7237-4D37-8988-3D6EF929285C}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{6B80A45A-3C97-40AA-9955-DCA843D6053D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{BC376147-E622-4735-86E6-96EF686C4A15}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{308F4A19-3EF1-4C05-A7BB-F52B6F767875}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{E4688C52-E02E-4D52-9D6F-C56ACFBF3AC3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{88EC7CFF-1261-4C51-9DEA-31700DDC95DA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{01A20BD5-373C-4C7B-A408-AE8C83D04535}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{A85F9395-9B9C-4590-90C2-C335F4CD1887}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{2A6344D6-D9AE-44A0-BD94-A2BAC54CFBEA}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{A3619276-68BC-4674-855E-1C9C434A32F6}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{30B65AFF-F702-4F31-825A-7A6124E83E99}] => (Allow) C:\Program Files (x86)\Samsung\Samsung Universal Print Driver 2\PrinterSelector\SUPDApp.exe No File
    FirewallRules: [{2F73076D-5BC6-404C-90E1-86E7EA218766}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{285228BE-1F70-415A-B642-097348A94382}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{8C748020-1768-4B42-A7CB-BFD41A79636E}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{2E06DCCC-6AD3-431C-B6C3-31C114753CE7}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{26B85078-FE5B-45A2-A897-78EDA7C1C641}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{F7BE5D81-F312-4FD9-8406-E605C55D4088}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.151\opera.exe No File
    FirewallRules: [{54BFF1DD-5A19-4E30-9491-C02059DCBB54}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.170\opera.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите как будет время.

Подробнее читайте в этом руководстве.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Высылаю файл
Запустился Касперский с проверкой, нашел Троян и поместил в карантин.
 

Вложения

  • Fixlog.txt
    13.6 KB · Просмотры: 1
Последнее редактирование:

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Remote Manipulator System - Мы устанавливали.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Увы как дилетант удалил не сохранив скрин
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
(C:\Users\Бухгалтер\Desktop\manual.exe)- удалил этот объект
 

akok

Команда форума
Администратор
Сообщения
19,827
Реакции
13,588
Баллы
2,203
А, это сам шифровальщик.
 

akok

Команда форума
Администратор
Сообщения
19,827
Реакции
13,588
Баллы
2,203
Что странно, в логах его не было. Так, что лучше заподозрить самое худшее, вас опять взломали и сменить все пароли на RDP
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
После полной проверки касперским был найден еще один троян
 

Вложения

  • вирус.rar
    100.7 KB · Просмотры: 0

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,466
Реакции
2,245
Баллы
653
Удалите старые и соберите новые FRST.txt и Addition.txt.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
13
Свежий
 

Вложения

  • Desktop.rar
    17.7 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу