Показано с 1 по 13 из 13.

Вирус зашифровал БД 1С с зарплатой (заявка № 175738)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7

    Вирус зашифровал БД 1С с зарплатой

    Добрый день, случилась такая беда: Файл с Базой Данных 1С предприятия был подвергнут заражению вирусом в следствии чего сама база была зашифрована, файл БД приложить не получиться но прикладываю ссылку на скриншот данной базы.
    http://hostingkartinok.com/show-imag...8fbe1506ca12f7

    Подскажите пожалуйста какие действия нужно предпринять.

    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) Eriks00, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7
    так же нашёл файл из которого произошло заражение прикладываю ссылку на файлообменнике

    [удалено] - Ссылка на вредоносный архив, Осторожно!!!!
    Последний раз редактировалось mike 1; 26.01.2015 в 12:31. Причина: Вирусная ссылка

  6. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Логи AVZ пришлите нужные.

    Интересно где была голова на плечах у пользователя, который открывал вложение из архива?

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. mike 1 получил(а) благодарность за это сообщение от


  8. #5
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7
    Как не прискорбно в связи с тем что наша организация всем подряд должна, главный бухгалтер в предвкушении очередного иска и тому подобного взяла на себя смелость запустить данный вирус, благо к основному серверу он доступа не получил.
    Вложения Вложения
    Последний раз редактировалось mike 1; 26.01.2015 в 13:50. Причина: Карантин в теме

  9. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\newSI_619\s_inst.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\newSI_611\s_inst.exe','');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
     DeleteFile('C:\Users\User\AppData\Roaming\newSI_611\s_inst.exe','32');
     DeleteFile('C:\Windows\Tasks\newSI_611.job','64');
     DeleteFile('C:\Windows\Tasks\newSI_619.job','64');
     DeleteFile('C:\Users\User\AppData\Roaming\newSI_619\s_inst.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
     DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
     DeleteFile('C:\Windows\system32\Tasks\newSI_611','64');
     DeleteFile('C:\Windows\system32\Tasks\newSI_619','64');
     DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
     DeleteFileMask('C:\Users\User\AppData\Local\Microsoft\Extensions', '*', true, ' ');
     DeleteFileMask('C:\Users\User\AppData\Roaming\newSI_619', '*', true, ' ');
     DeleteFileMask('C:\Users\User\AppData\Roaming\newSI_611', '*', true, ' ');
     DeleteDirectory('C:\Users\User\AppData\Local\Microsoft\Extensions');     
     DeleteDirectory('C:\Users\User\AppData\Roaming\newSI_619');     
     DeleteDirectory('C:\Users\User\AppData\Roaming\newSI_611');     
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(2);     
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text=
    O2 - BHO: (no name) - {00e71626-0bef-11dc-8314-0800200c9a66} - (no file)
    O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - (no file)
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.




    В следующем вашем ответе мне требуются следующие отчеты:

    1. virusinfo_syscheck.zip

    2. hijackthis.log

    3. CheckBrowserLnk.log

    4. FRST.txt, Addition.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  10. mike 1 получил(а) благодарность за это сообщение от


  11. #7
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7
    После фикса строк в HiJackThis пришлось поменять статический IP на динамический, иначе не получалось выйти в интернет.

    information

    Уведомление

    Карантин грузите по красной ссылке вверху темы

    Вложения Вложения
    Последний раз редактировалось mike 1; 26.01.2015 в 15:28. Причина: Карантин в теме

  12. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      SearchScopes: HKU\S-1-5-21-1362794376-2565858596-2990152212-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text={searchTerms}
      SearchScopes: HKU\S-1-5-21-1362794376-2565858596-2990152212-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7b5be9b14070c2a835c20ddae7675f23&text=
      BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
      Toolbar: HKU\S-1-5-21-1362794376-2565858596-2990152212-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
      OPR Extension: (Качай музон с ВК) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\agapaenbopboombhnknhckhipdfpafgp [2014-12-17]
      OPR Extension: (Coupon Cafe) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\caficnijbecdceenmgfphpoaamopmmjg [2014-12-17]
      2014-06-27 08:17 - 2014-06-27 08:17 - 0000001 _____ () C:\Users\User\AppData\Roaming\smw_inst
      Task: {12E85F9C-A0EE-4CCB-BD8F-7FBCA9FED7E8} - \kbrowser-updater-utility No Task File <==== ATTENTION
      Task: {FAE906AD-61C3-495F-9BE4-48565DA1B500} - \Safebrowser No Task File <==== ATTENTION
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. mike 1 получил(а) благодарность за это сообщение от


  14. #9
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7
    Перезагрузка произошла прикрепляю Fixlog
    Вложения Вложения

  15. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Логи в порядке. С расшифровкой не поможем. В DrWeb похоже умеют такие файлы расшифровывать, поэтому рекомендую обратиться в их техподдержку.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  16. mike 1 получил(а) благодарность за это сообщение от


  17. #11
    Junior Member Репутация
    Регистрация
    26.01.2015
    Сообщений
    11
    Вес репутации
    7
    Хорошо вас понял, спасибо за помощь.

  18. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Потом отпишитесь в теме, возможно эта информация поможет другим пострадавшим.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Eriks00, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. вирус зашифровал в CBF
      От esk в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 15.01.2015, 20:01
    2. Вирус зашифровал в RN
      От rebneb в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.08.2014, 14:19
    3. Вирус зашифровал zip, rar, doc, pdf, ets
      От Azgaros в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.01.2014, 22:45
    4. Вирус зашифровал все jpg
      От Flaunder в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.12.2013, 20:04
    5. вирус зашифровал.
      От Дмитрий11 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.11.2013, 16:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01271 seconds with 22 queries