• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [[email protected]].harma

ВиталийВВ

Новый пользователь
Сообщения
4
Реакции
0
Добрый день! Поймали вирус [[email protected]].harma. зашифровал все файлы, очень прошу помощи в решении данно ситуации! файл самого вируса я не нашел.
 

Вложения

  • Addition.txt
    26 KB · Просмотры: 1
  • Desktop.rar
    5.1 MB · Просмотры: 0
  • FRST.txt
    47.6 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,626
Реакции
13,984
Доброго времени суток, это CrySis (Dharma)... расшифровки под не нет, даже у антивирусных компаний.
 

ВиталийВВ

Новый пользователь
Сообщения
4
Реакции
0
Большое спасибо за быстрый ответ. Конечно очень жаль(
после него лучше переустановить систему? или попробовать вылечить?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,626
Реакции
13,984
На ваше усмотрение, только обратите внимание, что некоторые шифровальщики заражают через RDP, а это значит, что рекомендуется сменить пароли и настроить защиту от подбора оных (паролей).
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe;
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe [2019-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-07] () [File not signed]
    Startup: C:\Users\work\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe [2019-07-08] () [File not signed
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ C:\Windows\system32\Info.hta
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ C:\Users\work\AppData\Roaming\Info.hta
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\Users\work\Desktop\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ () C:\Users\work\AppData\Roaming\Info.hta
    ContextMenuHandlers1: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    ContextMenuHandlers2: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers4: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    ContextMenuHandlers6: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    FirewallRules: [{9596FE27-C291-4552-ABF2-3BCAE968CBEA}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{FAB00B98-3FD1-4164-B7C1-E4C6BC354031}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{FE79ED2D-4AF5-48DF-9F5C-5B59C458A047}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{2C70BB2A-254C-41D7-9BEF-58F1B224B2A2}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{0F0286E2-4729-47CC-89EF-9DF214012820}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{B50CEA65-F740-4CAF-A990-7C165C06832E}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{7DCB68EA-D131-4C19-97DA-A07AA9067B9E}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe No File
    FirewallRules: [{904F4AD6-2A52-4CDA-AE7D-C58EEA642431}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe No File
    FirewallRules: [{AFE5D1C9-234F-44D5-AC76-FEEAFE6833CA}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe No File
    FirewallRules: [{685FDB3D-038A-4B07-8FBD-02085C7D9F41}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe No File
    FirewallRules: [{3D45A325-1146-4E36-B843-EB7CDDDD7447}] => (Allow) C:\Program Files (x86)\HP\csiInstaller\3b050369-8d19-413d-9dec-84ff278472eb\Installer\hpbcsiInstaller.exe No File
    FirewallRules: [{55868070-82D1-495A-9450-A352A763AEBB}] => (Allow) C:\Program Files (x86)\HP\csiInstaller\3b050369-8d19-413d-9dec-84ff278472eb\Installer\hpbcsiInstaller.exe No File
    FirewallRules: [TCP Query User{45E2B85B-402A-45D1-A0D4-599245CD93FB}C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe No File
    FirewallRules: [UDP Query User{5B8A7714-107B-4DA9-97E0-9D06111D7777}C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe No File
    FirewallRules: [{F975CF33-867F-440C-8B04-7F7F81D3927D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{B8E657E3-2AA7-4D2B-A6E7-907A63EC3656}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [TCP Query User{4B09580F-EA67-4BEB-9D8E-A0815124A7E8}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe No File
    FirewallRules: [UDP Query User{C07D8B88-A1E9-473F-98BC-3BD4E28DA50B}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe No File
    FirewallRules: [{5D6BDCB7-A4E2-46B1-BC30-15385D2E333E}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,626
Реакции
13,984

ВиталийВВ

Новый пользователь
Сообщения
4
Реакции
0
Не нужно запускать скрипт несколько раз. (случайно)
 

Вложения

  • SecurityCheck.txt
    10.2 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,626
Реакции
13,984
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 12.0.5 Basic v.12.0.5 Внимание! Скачать обновления
VLC media player v.2.2.2 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 201 (64-bit) v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java 8 Update 201 v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^

О паролях я писал выше. На этом все, чем можно помочь... осталось разобраться вам с зашифрованными ярлыками.
 
Сверху Снизу