• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер. Зашифрован комп - omg@onlinehelp.host ].harma Нужна помощь.

Статус
В этой теме нельзя размещать новые ответы.

serg_KS

Новый пользователь
Сообщения
24
Реакции
1
Гугля по этому поводу ничего внятного не сказала. DR WEB отреагировал только на один файл (фото прилагается).
Подскажите или можно расшифровать инфу?
 

Вложения

  • Exempl.rar
    190.4 KB · Просмотры: 0
  • FRST.rar
    31.9 KB · Просмотры: 1
  • drweb.jpg
    drweb.jpg
    110.5 KB · Просмотры: 110
По харме без вариантом пока.
 
Вам бы сервер обновить.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VurusTotal: H:\WINDOWS\System32\1sqb.exe;
    HKU\S-1-5-18\...\RunOnce: [] => [X]
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\Buhgalter\Рабочий стол\FILES ENCRYPTED.txt
    2019-10-29 02:10 - 2019-10-29 02:10 - 000000174 _____ H:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt
    ContextMenuHandlers1: [ANotepad++] -> {00F3C2EC-A6EE-11DE-A03A-EF8F55D89593} => H:\Program Files\Notepad++\NppShell_06.dll -> No File
    ContextMenuHandlers1: [FRHEAddInContextMenu10.FRHEAddInContextMenu10.1] -> {95CF7ACA-9F00-4789-8C3B-797AD701B1AD} => H:\Program Files\ABBYY FineReader 10 Home Edition\SprintIntegration.dll -> No File
    ContextMenuHandlers1: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} => H:\Program Files\ICQLite\ICQLiteShell.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => H:\Program Files\WinRAR\rarext.dll -> No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Добрый день. Сервер клиентский, старенький. Пароли стандартные admin - admin , ужас. А можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
 

Вложения

  • Fixlog.txt
    3.9 KB · Просмотры: 2
Компьютер перезагрузите вручную
Перегружали?

можете мне сказать (для информации), как они хапнули шифровальщика (что-то скачали или через rdp)?
Вероятнее всего через RDP. Как вы сами заметили, пароль слабый.
 
да, перезагрузил после frst fix
 
Удалите старые и соберите заново FRST.txt и Addition.txt
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу