• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус Шифровщик. Нужна помощь

Статус
В этой теме нельзя размещать новые ответы.

lexed

Новый пользователь
Сообщения
4
Реакции
0
Добрый день ! Подскажите, пожалуйста, что делать! Шифровальщик зашифровал все файлы приложений
и баз данных 1С на компьютере. Зашифровался весь компьютер с различными расширениями (.zzo .qzi. Jxk и другие).
Помогите, подскажите, есть ли вариант расшифровки данных? Логи и сам шифрованный файл прилагаю
 

Вложения

  • Addition.txt
    31.6 KB · Просмотры: 1
  • FRST.txt
    94.7 KB · Просмотры: 1
  • сверки взаиморасчетов № 1 от 10 января 2019 г.pdf[graff_de_malfet@protonmail.ch][2128851521-1...zip
    60.8 KB · Просмотры: 1
Здравствуйте!

Лечить систему следует на одном форуме. Разные рекомендации могут вам же повредить и запутать консультанта.
Определитесь, где будете продолжать - здесь или на форуме ЛК?
 
Здравствуйте!

Лечить систему следует на одном форуме. Разные рекомендации могут вам же повредить и запутать консультанта.
Определитесь, где будете продолжать - здесь или на форуме ЛК?
Будем продолжать тут
 
По поводу дешифровки. Для этой версии cryakl нет возможности дешифровать файлы. Есть только возможность восстановить БД 1с. Если, что @thyrex меня поправит.


Ваше?

Task: {67C4BD02-3F06-4E35-B9FB-3929280E6438} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {8345E556-60F7-49A8-8EA0-CF15D0BC2A19} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]

Все администраторы ваши?
User (S-1-5-21-3442210828-564957946-3783906836-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3442210828-564957946-3783906836-500 - Administrator - Disabled)
Алла (S-1-5-21-3442210828-564957946-3783906836-1001 - Administrator - Enabled) => C:\Users\Алла

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [3780312] => 3780312
    Task: {67C0F595-57ED-48A3-8FC6-9F76ECF1F2B3} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    Task: {8899BA3B-7AAF-4B89-A84D-D92F4A61B326} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    2020-02-14 22:14 - 2020-02-14 22:14 - 000000075 _____ C:\Program Files (x86)\README.txt
    2020-02-14 22:09 - 2020-02-14 22:09 - 000000075 _____ C:\Program Files\README.txt
    2020-02-14 22:09 - 2020-02-14 22:09 - 000000075 _____ C:\Program Files\Common Files\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\Desktop\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\AppData\Roaming\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\AppData\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Downloads\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Documents\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Desktop\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Roaming\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\LocalLow\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Local\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\Downloads\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:51 - 2020-02-14 21:51 - 000000075 _____ C:\Users\User\Documents\README.txt
    2020-02-14 21:51 - 2020-02-14 21:51 - 000000075 _____ C:\Users\User\Desktop\README.txt
    2020-02-14 21:40 - 2020-02-14 21:40 - 000000075 _____ C:\Users\User\AppData\Roaming\README.txt
    2020-02-14 21:40 - 2020-02-14 21:40 - 000000075 _____ C:\Users\User\AppData\README.txt
    2020-02-14 21:38 - 2020-02-14 21:38 - 000000075 _____ C:\Users\User\AppData\LocalLow\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\User\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Public\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Public\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Documents\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Desktop\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Roaming\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Documents\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Desktop\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000003192 _____ C:\Windows\system32\Tasks\BCBoot
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\Desktop\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Public\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Public\Desktop\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\Desktop\README.txt
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
User (S-1-5-21-3442210828-564957946-3783906836-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3442210828-564957946-3783906836-500 - Administrator - Disabled)
Алла (S-1-5-21-3442210828-564957946-3783906836-1001 - Administrator - Enabled) => C:\Users\Алла
Все наши
 

Вложения

  • Fixlog.txt
    12.4 KB · Просмотры: 1
На этом все, чем можно помочь.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу