adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
вчера зашифровались файлы на компьютере. подскажите, что можно сделать?
в памяти болтается троян. где шифратор - не знаю.
в памяти болтается троян. где шифратор - не знаю.
-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена с расшифровкой. Помогите с расшифровкой и лечением email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-
- Автор темы adviser.vlad
- Дата начала
- Статус
- Сообщения
- 24,151
- Реакции
- 13,538
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Тип файла предпочтительно офисный документ или картинка.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,151
- Реакции
- 13,538
Где вы его увидели?
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
Касперский VRT показывает
Пара файлов в архиве Files в первом сообщении.
AVZ из папки Автолог запустить не дает
Trojan.Multi.Accesstr.ash
Системная память
Троянская программа
Пара файлов в архиве Files в первом сообщении.
AVZ из папки Автолог запустить не дает
Trojan.Multi.Accesstr.ash
Системная память
Троянская программа
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
Да, наверное как-то аваст помешал. хотя был выключен.
Сведения о файле:
Сведения о файле:
| Размер файла, байт: | 111786813 |
| MD5: | 2B71C46F61EFB9B8A4724AB8FF78FF63 |
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
нет. знакомые попросили посмотреть, когда уже словили шифратора.
- Сообщения
- 24,151
- Реакции
- 13,538
Уточните, если да, то уберите нужные строки из скрипта
Смените пароли на RDP. Взлом похоже был через учетную запись Бухгалтер (S-1-5-21-752942377-2337074940-748437113-1000 - Administrator - Enabled) => C:\Users\Бухгалтер
Подробнее читайте в этом руководстве.
Подробнее читайте в этом руководстве.
Смените пароли на RDP. Взлом похоже был через учетную запись Бухгалтер (S-1-5-21-752942377-2337074940-748437113-1000 - Administrator - Enabled) => C:\Users\Бухгалтер
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: VirusTotal::\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe; HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {8E015791-D453-4DE4-999D-B369FAF71DFB} - \KMSAuto -> No File <==== ATTENTION S4 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] <==== ATTENTION S4 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] <==== ATTENTION 2019-06-23 18:48 - 2019-06-23 18:48 - 000000061 _____ C:\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\AppData\Roaming\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\AppData\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\Downloads\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\Documents\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\Desktop\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\���������\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\���������\AppData\README.txt 2019-06-23 18:44 - 2019-06-23 18:44 - 000000061 _____ C:\Users\���������\AppData\Local\README.txt 2019-06-23 18:43 - 2019-06-23 18:43 - 000000061 _____ C:\Users\Бухгалтер\AppData\Roaming\README.txt 2019-06-23 18:43 - 2019-06-23 18:43 - 000000061 _____ C:\Users\Бухгалтер\AppData\README.txt 2019-06-23 18:40 - 2019-06-23 18:40 - 000000061 _____ C:\Users\Бухгалтер\AppData\LocalLow\README.txt 2019-06-23 18:22 - 2019-06-23 18:22 - 000000061 _____ C:\Users\Бухгалтер\AppData\Local\README.txt 2019-06-23 18:21 - 2019-06-23 18:44 - 000001259 _____ C:\Users\Все пользователи\README.txt 2019-06-23 18:21 - 2019-06-23 18:44 - 000001259 _____ C:\ProgramData\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Public\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Public\Downloads\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\Downloads\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\Documents\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\Desktop\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\AppData\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\Downloads\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\Documents\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\Desktop\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\AppData\README.txt 2019-06-23 18:21 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt 2019-06-23 18:20 - 2019-06-23 18:21 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 18:20 - 2019-06-23 18:21 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 18:20 - 2019-06-23 18:21 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 18:20 - 2019-06-23 18:21 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 18:20 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Public\Documents\README.txt 2019-06-23 18:20 - 2019-06-23 18:21 - 000000061 _____ C:\Users\Public\Desktop\README.txt 2019-06-23 18:20 - 2019-06-23 18:20 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2019-06-23 18:20 - 2019-06-23 18:20 - 000000061 _____ C:\Program Files (x86)\README.txt 2019-06-23 18:14 - 2019-06-23 18:14 - 000000061 _____ C:\Program Files\README.txt 2019-06-23 18:14 - 2019-06-23 18:14 - 000000061 _____ C:\Program Files\Common Files\README.txt 2019-06-23 18:13 - 2019-06-23 18:21 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 18:10 - 2019-06-23 18:44 - 000000000 ____D C:\Users\Бухгалтер\Downloads\taskmgr 2019-06-23 18:10 - 2019-06-23 18:41 - 000000000 ____D C:\Users\Бухгалтер\AppData\Roaming\Process Hacker 2 2019-06-23 18:09 - 2019-06-23 18:09 - 000000000 ____H C:\Users\Бухгалтер\Documents\Default.rdp ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> No File FirewallRules: [{1A0EC57E-F084-4940-A769-975012FAD23A}] => (Block) C:\program files (x86)\1cv8\8.3.6.2041\bin\1cv8c.exe No File FirewallRules: [{F8560201-DEFD-44CF-8DF8-3B266CF182A0}] => (Block) C:\program files (x86)\1cv8\8.3.6.2041\bin\1cv8c.exe No File FirewallRules: [TCP Query User{5A61CAC5-7E33-4F00-884B-51CCB4AAE6D7}C:\tt\jre\bin\javaw.exe] => (Block) C:\tt\jre\bin\javaw.exe No File FirewallRules: [UDP Query User{4FFFC2E2-1D14-4E71-8F9A-E4CD5FBF354D}C:\tt\jre\bin\javaw.exe] => (Block) C:\tt\jre\bin\javaw.exe No File FirewallRules: [TCP Query User{68EC1061-F514-42E2-8EAD-9B13B4CFBAA8}C:\tt\jre\bin\javaw.exe] => (Block) C:\tt\jre\bin\javaw.exe No File FirewallRules: [UDP Query User{4777A9AB-1D6F-4ED4-8116-93E780247D82}C:\tt\jre\bin\javaw.exe] => (Block) C:\tt\jre\bin\javaw.exe No File FirewallRules: [{863C558C-291F-4D0A-88E6-15A9EEDCCB92}] => (Allow) C:\Users\Бухгалтер\AppData\Roaming\Mail.Ru\Agent\magent.exe No File FirewallRules: [{8C92169F-D610-4A2E-A073-7DD6BB67FC87}] => (Allow) C:\Users\Бухгалтер\AppData\Roaming\Mail.Ru\Agent\magent.exe No File FirewallRules: [{80FE8D1A-0F56-4D27-904C-666BC0CFBB56}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Amigo\Application\amigo.exe No File FirewallRules: [{51D0FC12-9619-4AA0-A5FE-D81E1691C33A}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File FirewallRules: [TCP Query User{5BDE23A5-7628-4B7C-8F81-337C792D194C}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File FirewallRules: [UDP Query User{AA43DBBC-9D2C-4696-8780-2903936AF436}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File FirewallRules: [{491A0F33-4C7F-444C-8A9B-8C9035AC423D}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe No File FirewallRules: [{A3780C6F-598A-40EE-B6D4-926C6CAD0710}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File FirewallRules: [{BB5E1F4C-53C9-4F5D-8B86-C5951C905AE6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File FirewallRules: [{C008091D-47DF-4BB3-90AC-ED60697A4E02}] => (Allow) C:\Program Files (x86)\IVView\bin\ServerCMS.exe No File FirewallRules: [{57BC13E2-1A34-4D7D-BFF2-0E749320B31B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File FirewallRules: [{4F4E407A-BADF-4543-84D4-4C72000D7206}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,151
- Реакции
- 13,538
???
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
эти не подойдут?
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
АДВ клинер.
adviser.vlad
Новый пользователь
- Сообщения
- 7
- Реакции
- 0
Спасибо! Дешифратор помог.
- Сообщения
- 24,151
- Реакции
- 13,538
- Статус