• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Trojan.Encoder.3953 зашифрованы все файлы [259461356@qq.com]

ks_holod

Новый пользователь
Сообщения
7
Реакции
0
Был пойман вирус. Все файлы были зашифрованы. В безопасном режиме нашел файл вируса. Возможно ли восстановить данные?
 

Вложения

  • Addition.txt
    35.6 KB · Просмотры: 1
  • FRST.txt
    85.2 KB · Просмотры: 1
  • Новый текстовый документ.txt
    91 байт · Просмотры: 0
  • требование.txt
    1.5 KB · Просмотры: 3
  • Измененные файлы.zip
    1.5 MB · Просмотры: 2
Для этого вымогателя пока нет способа дешифровки данных. Можно попробовать восстановить базы 1с (смотрите подпись). ++ пароли на RDP смените

Политики сами настраивали?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-11-11] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13913 2020-11-11] () [File not signed]
    HKLM\...\Run: [C:\Users\Manager17\AppData\Roaming\Info.hta] => C:\Users\Manager17\AppData\Roaming\Info.hta [13913 2020-11-11] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-11-10] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-11-11] () [File not signed]
    Startup: C:\Users\Manager17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-11-11] () [File not signed]
    Startup: C:\Users\Manager17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-11-11] () [File not signed]
    Startup: C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-31] () [File not signed]
    2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ C:\Windows\system32\Info.hta
    2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ C:\Users\Manager17\AppData\Roaming\Info.hta
    2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\Users\Manager17\Desktop\FILES ENCRYPTED.txt
    2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-11-11 02:27 - 2020-11-11 13:44 - 000000166 _____ C:\FILES ENCRYPTED.txt
    2020-11-11 13:29 - 2020-11-11 13:29 - 000094720 _____ () C:\Users\Manager17\AppData\Roaming\.259.exe
    2020-11-11 02:27 - 2020-11-11 13:44 - 000013913 _____ () C:\Users\Manager17\AppData\Roaming\Info.hta
    C:/Users/Manager17/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => No File
    ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers6-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files (x86)\7-Zip\7-zip.dll -> No File
    FirewallRules: [{384CFB45-0528-4D23-B3E4-EC994E3E175F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => No File
    FirewallRules: [{6A3D71F0-CB08-4496-A285-F28B26109CDC}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => No File
    FirewallRules: [TCP Query User{88FE76F2-DF5D-4E16-9C09-57EEF03E420B}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe => No File
    FirewallRules: [UDP Query User{64A98EB1-2650-4456-B605-24A9E1A0F280}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8.exe => No File
    FirewallRules: [TCP Query User{F833A508-88F8-41C2-AC8F-DDD51FEDB7F2}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe => No File
    FirewallRules: [UDP Query User{213A98BF-88D8-45CB-970A-334B2775F89D}C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.8.1747\bin\1cv8c.exe => No File
    FirewallRules: [TCP Query User{AC6E9DDC-D46D-4247-B7AF-B90C8E27606F}\\192.168.1.3\files\казаков а\version4\teamviewer.exe] => (Allow) \\192.168.1.3\files\казаков а\version4\teamviewer.exe => No File
    FirewallRules: [UDP Query User{1B372411-0464-4114-8E60-135473CBC39C}\\192.168.1.3\files\казаков а\version4\teamviewer.exe] => (Allow) \\192.168.1.3\files\казаков а\version4\teamviewer.exe => No File
    FirewallRules: [TCP Query User{55C45FFF-30F8-4324-8193-6C6B84304623}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe => No File
    FirewallRules: [UDP Query User{91915D0B-0553-4130-88E4-E87CD8F05545}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8c.exe => No File
    FirewallRules: [{C11B9CA7-6A92-4CE4-A13B-E03185B8F087}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe => No File
    FirewallRules: [{4FAF38E8-9C96-42F1-9FDB-9F50A483441E}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
    FirewallRules: [{5C5DED37-B4D0-46EA-88A0-0AE353AE7155}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
    FirewallRules: [{3CFC19D4-B059-4E64-A04F-450B6C11A0EF}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
    FirewallRules: [{017AB188-C10C-4A3F-9DDE-779EE7F77E15}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
    irewallRules: [TCP Query User{E5537C5D-FFC4-45C5-AFC6-D4B435C9945A}C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe => No File
    FirewallRules: [UDP Query User{C60D2EEF-9669-4461-ACA7-2C0F43104202}C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.12.1685\bin\1cv8c.exe => No File
    FirewallRules: [TCP Query User{FD3CD6D4-6543-41A5-BEBB-C32FD79B8FEB}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe => No File
    FirewallRules: [UDP Query User{D081D900-0069-4B00-9819-F50EE51093C8}C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.10.2667\bin\1cv8.exe => No File
    FirewallRules: [{0EB546A6-D6DE-4552-A7A4-E49F0716FCD7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{83F94771-CBE4-4EE2-81BA-1AC807F10187}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{E46F98D3-ED3B-4369-88AE-B2856DE7B0E9}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [{33191DCF-E04D-4A6A-8CCD-D26EFBB142B2}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [TCP Query User{A8521418-52CC-4D26-A263-5B2937245754}C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe => No File
    FirewallRules: [UDP Query User{834F8022-6BB7-4D94-8D67-71206E131738}C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.12.1790\bin\1cv8.exe => No File
    FirewallRules: [TCP Query User{996043A9-8659-4703-89D6-2734F019330C}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File
    FirewallRules: [UDP Query User{25ECFAE3-62C9-4EBC-9E37-FB5A0440D285}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File
    FirewallRules: [TCP Query User{BBDE5791-8AA7-4D96-9660-72CDA0B40AEA}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe => No File
    FirewallRules: [UDP Query User{80D85675-26D6-4BBF-A567-12297122F9E0}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8.exe => No File
    FirewallRules: [TCP Query User{576EC039-AE3E-4428-969D-3A432201DBC3}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File
    FirewallRules: [UDP Query User{F6F040B8-3164-4C3B-9883-950DF299F909}C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.15.1656\bin\1cv8c.exe => No File
    FirewallRules: [{D15149C0-C51F-4DEF-B4EF-F007C5901B36}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File
    FirewallRules: [{A0A7658F-FEEE-418B-A9CB-8DB4F4FBE456}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File
    FirewallRules: [{674EF2DA-59BD-498D-9552-68B95A07ADEA}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File
    FirewallRules: [{4A59EA2A-579E-4190-987C-C7D4C2454356}] => (Allow) C:\Users\Manager17\AppData\Local\Temp\scoped_dir4652_1413193984\AnyDesk.exe => No File
    FirewallRules: [{023104C7-0AAF-4CE5-8940-FFF0D400C19F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{4D3EDF6D-8EA0-4310-818E-C102A01264E6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{F1954691-28A6-473A-B096-BE10870E71E1}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [{F09747E4-7141-4F9E-AEEB-6A366253D6EE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [{FDCD917A-6E2C-46AD-BC50-CCCBA949723D}] => (Allow) C:\AnyDesk.exe => No File
    FirewallRules: [{6D02095F-C9CC-41A2-935C-47C230A12592}] => (Allow) C:\AnyDesk.exe => No File
    FirewallRules: [{D8B2076E-50F7-481A-B3F1-4C5F5CE6C557}] => (Allow) C:\AnyDesk.exe => No File
    FirewallRules: [{01502A0A-6A8C-4CB8-8655-A59056036396}] => (Allow) C:\AnyDesk.exe => No File
    FirewallRules: [{0C46B7FB-5E8F-43C0-B7B4-17AF524A4E6F}] => (Allow) C:\Program Files\Opera\71.0.3770.284\opera.exe => No File
    FirewallRules: [{A8D44529-73B5-4B71-BD6D-5B8E962EAA8F}] => (Allow) C:\Program Files\Opera\72.0.3815.186\opera.exe => No File
    FirewallRules: [{674FC01B-F87F-4407-B609-1BFF4393B699}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезапустите вручную.

Подробнее читайте в этом руководстве.
 
Здравствуйте. На этом компьютере самое ценное базы налогоплательщика. Вирус еще затронул диск общего пользования вот там много нужного
 
Файл
 

Вложения

  • FRST.txt
    85.2 KB · Просмотры: 1
да, переделываю 2 мин назад заметил
 
Файл
 

Вложения

  • Fixlog.txt
    19.6 KB · Просмотры: 1
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Файл теста
 

Вложения

  • SecurityCheck.txt
    13.4 KB · Просмотры: 2
Поработать есть над чем:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Office, для дома и бизнеса 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.2.2756 Внимание! Скачать обновления
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 4.7.5 (Full) v.4.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.86.0.4240.183 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 72.0.3815.186 v.72.0.3815.186 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^


Антивирус установите.
 
есть ли шансы восстановить данные?
 
Назад
Сверху Снизу