Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Не понял, лог сделал прикрепил, что не так?Начните с логов по правилам
Забыл о AutoLogger .. добавил логПройдите по предложенной ссылке и внимательно прочтите.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','');
QuarantineFile('c:\users\sholomitska\appdata\roaming\svchost.exe','');
DeleteFile('c:\users\sholomitska\appdata\roaming\svchost.exe','32');
DeleteFile('C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe','x32');
BC_ImportALL;
ExecuteRepair(9);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
файлы отчетов были в первом посте.. а также пара файлов..Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
ок, поищу..+++ поищите другую пару файлов, в первом посте не подходит, скорее всего документы не совпадают.
Отработал скрипты в AVZ. Файл quarantine.zip отправил по форме (там просят сообщить номер в теме, прикрепил скрин quarantine, так как копировать не удалось). Сделал новые отчеты FRST.txt, Addition.txt. А так же нашел новую пару файлов.Не нужно крепить старые логи FRST, нужны свежие после выполнения скрипта AVZ. Ну и старую пару тоже не нужно крепить.
Start::
CreateRestorePoint:
VirusTotal:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe;C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
HKLM\...\Run: [Adobe] => "C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe" <==== ATTENTION
C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe [2016-04-19] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe
Startup: C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2017-04-13] () [File not signed] <==== ATTENTION C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\Downloads\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\Documents\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\README.txt
2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\README.txt
2019-06-23 15:20 - 2019-06-23 15:20 - 000000061 _____ C:\Users\Sholomitska\Desktop\README.txt
2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\Roaming\README.txt
2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\README.txt
2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\LocalLow\README.txt
2019-06-23 15:18 - 2019-06-23 15:18 - 000000061 _____ C:\Users\Sholomitska\AppData\Local\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Sholomitska\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Sholomitska\AppData\Local\Apps\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Sholomitska\AppData\Local\Apps\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Public\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Все пользователи\README.txt
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Documents\README.txt
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Desktop\README.txt
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\ProgramData\README.txt
2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-23 15:16 - 2019-06-23 15:16 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-23 15:16 - 2019-06-23 15:16 - 000000061 _____ C:\Program Files\README.txt
2019-06-23 15:14 - 2019-06-23 15:14 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-06-23 15:08 - 2019-06-23 15:17 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
FirewallRules: [{4FB123A3-445B-47D4-A0AC-E554136BB412}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
FirewallRules: [{14FF229A-C1D8-4BF6-9E4A-E28EF0987F17}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
FirewallRules: [{9905A1F5-0C64-4BB9-8A10-8F8DF9B69B2C}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
FirewallRules: [{3A994996-C3F0-4C08-A042-5FA189A4A0AF}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
FirewallRules: [{B4EE3344-69CB-437E-B48A-5446FA0B19B2}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer.exe No File
FirewallRules: [{1B426DFA-0ACB-4813-BD7E-867FE1BAA884}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer.exe No File
FirewallRules: [{51683103-9E04-44C3-AB11-DF47FF17F4CD}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe No File
FirewallRules: [{E4D91B08-D447-4352-B4AE-1B1DE3FB5E27}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe No File
FirewallRules: [{94B8E5D3-5479-4E4B-BA56-83249E5F1252}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer.exe No File
FirewallRules: [{4076424E-C0A8-49CE-BF75-9B420D85FE93}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer.exe No File
FirewallRules: [{0D4D3502-FBF7-4977-9964-E83C94D75071}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe No File
FirewallRules: [{B5CE47D5-42DE-49C1-A1C1-1DD28EC54595}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe No File
FirewallRules: [{2135C33F-5249-42E6-974F-602F3AC30C7B}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
FirewallRules: [{969CDA51-C2A7-4570-8255-1855645774BB}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
FirewallRules: [{329DEF60-5CE2-4338-9C86-CC3062E9DD94}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
FirewallRules: [{E434370D-9A16-4DD2-A2BF-5C9E7A4A1CCC}] => (Allow) C:\Program Files\Microsoft Lync\UcMapi.exe No File
FirewallRules: [{65A2FDFF-0069-4187-B9B2-B4D8DECEEB60}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
FirewallRules: [{72B6AF06-0CD4-4466-90FD-1A9DD3A5CB6A}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
FirewallRules: [TCP Query User{DB5B3A93-0079-48CF-B55B-9B930D5515F0}C:\users\tolik\desktop\dmt.exe] => (Allow) C:\users\tolik\desktop\dmt.exe No File
FirewallRules: [UDP Query User{BFE68D3C-04D6-4791-9E0D-CA4FD1EBD13A}C:\users\tolik\desktop\dmt.exe] => (Allow) C:\users\tolik\desktop\dmt.exe No File
FirewallRules: [{EDE4C026-8AB7-4212-ABF0-A9D209789587}] => (Allow) C:\Program Files\ACSPMonitor\ASMonitor.exe No File
FirewallRules: [{FFC95D0B-EC15-435C-BA41-F43CECB8A63E}] => (Allow) C:\Program Files\ACSPMonitor\ASMonitor.exe No File
EmptyTemp:
Reboot:
End::
готово6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
вотНужна другая пара файлов, лучше текстовые больше 255 байт (и в одном архиве, пожалуйста).
спс, дешифровал некоторые документы.Проверьте ЛС.
Да, пробуйте.их тоже можно дешифоровать
Да спс, позже дешифрую остальноеТему можно отмечать решенной?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?