Показано с 1 по 14 из 14.

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ЧТОБЫ ИХ РАСШИФРОВАТЬ НАПИШИТЕ НАМ НА encryptss77@gmail.com [Trojan.BAT.Agent.aqo ] (заявка № 202641)

  1. #1
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34

    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ЧТОБЫ ИХ РАСШИФРОВАТЬ НАПИШИТЕ НАМ НА encryptss77@gmail.com [Trojan.BAT.Agent.aqo ]

    Многие файлы были зашифрованы. Больше всего волнуют базы 1С. Резервные файлы хранились в отдельной папке и автоматом выкладывались на Яндекс-Диск. Везде ВСЕ зашифровано. Пока не могу понять откуда пошла зараза - с КОМПЬЮТЕРА на Яндекс-Диск или ИЗ Яндекс-Диск на компьютер.
    Получил вот такое письмо, вернее файл нашел в Документа
    "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
    ЧТОБЫ ИХ РАСШИФРОВАТЬ
    НАПИШИТЕ НАМ НА encryptss77@gmail.com
    В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
    НА КОТОРОМ УВИДЕЛИ ЭТО СООБЩЕНИЕ
    ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
    МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ

    Помогите расшифровать файлы
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) gost13, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Сбрутили Ваш сервер и зашли по RDP. Меняйте пароль.
    Файлы скорее будут заархивированы с паролем, чем зашифрованы.

    Выполните скрипт в AVZ
    Код:
    begin
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe','');
     DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузку компьютера сделайте вручную.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34
    [/code]c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
    Это выполнил.
    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/QUOTE]
    А это то же надо сделать? Повторить что и в первом письме, только новые файлы?

    - - - - -Добавлено - - - - -

    Цитата Сообщение от thyrex Посмотреть сообщение
    Сбрутили Ваш сервер и зашли по RDP. Меняйте пароль.
    Файлы скорее будут заархивированы с паролем, чем зашифрованы.
    ОЧЕНЬ хочется в это верить :-)
    Сбрутить могли только из локалки, так как на нем работают ТОЛЬКО бухгалтеры по RPD. Внешнего IP он не имеет и DDNS не настроен. Я вот только TeanViewer могу иногда заглянуть.
    Правда в логах Symantec есть активность из сети по RPD/ На всякий случай скину лог, может чем поможет :-( Смотрю Symantec и сейчас время от времени выбрасывает окошко о блокировки трафика ВНЕШНЕГО IP / Не успеваю посмотреть НА или ИЗ и сам IP, но то что ВНЕШНИЙ - это факт.
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Новые логи по правилам где?

    Сетевой червяк и майнер работают
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    Новые логи по правилам где?

    Сетевой червяк и майнер работают
    AvZ высылаю. HijackThis.exe запускается, но ничего сделать НИЗЗЯ :-(
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Сделайте логи с машины бухгалтера
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте логи с машины бухгалтера
    Полностью сделать ВСЕ логи не получилось. Делаю все удаленно, через Teaviewer. Аваст отключить ПОЛНОСТЬЮ не получается. Автозагрузку МАКСИМАЛЬНО почистил. Но прт выполнении Стандартного скрипта№2 скрипт до конца не проходит и вылетает. Сделал Стандартный скрипт №3 и
    hijackthis.log. Жду дальнейших рекомендаций. Удастся ли декодировать (разархивировать) базы 1С?

    - - - - -Добавлено - - - - -

    Полностью сделать ВСЕ логи не получилось. Делаю все удаленно, через Teaviewer. Аваст отключить ПОЛНОСТЬЮ не получается. Автозагрузку МАКСИМАЛЬНО почистил. Но прт выполнении Стандартного скрипта№2 скрипт до конца не проходит и вылетает. Сделал Стандартный скрипт №3 и
    hijackthis.log. Жду дальнейших рекомендаций. Удастся ли декодировать (разархивировать) базы 1С?
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
     QuarantineFile('C:\WINDOWS\system32\fiqeypg.dll','');
     DeleteFile('C:\WINDOWS\system32\fiqeypg.dll','32');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34
    Я так понимаю что мы полечили источник заразы - компьютер User, но главный вопрос остался открытым: УДАСТЬСЯ ЛИ РАСШИФРОВАТЬ БАЗЫ 1 С? ОЧЕНЬ ЖДУ РЕШЕНИЯ
    Вложения Вложения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Разархивировать не поможем. Используемые при архивировании пароли очень длинные
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    02.10.2007
    Сообщений
    14
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    Разархивировать не поможем. Используемые при архивировании пароли очень длинные
    Жаль :-( Тогда хотелось бы уточнить 3 вопроса:
    1. Чем архивировали?
    2. Я понимаю что зараза попала на сервер по RPD с компьютера User?
    3. Возможно ли заражение путем взлома Яндекс-Диска и внедрении заразы при синхронизации? На Яндекс-Диске то же все зашифровано :-(

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    1. Скорее всего WinRar, но нужно смотреть внутрь архива
    2. Скорее да, чем нет
    3. Нет, до Яндекс диска вирус дотянулся с компьютера
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\user\appdata\roaming\microsoft\windows\st art menu\programs\startup\windowsdrivers.exe - Trojan.BAT.Agent.aqo


  • Уважаемый(ая) gost13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 21.07.2015, 13:41
    2. Ответов: 4
      Последнее сообщение: 18.07.2015, 14:19
    3. Ответов: 4
      Последнее сообщение: 30.03.2015, 13:37
    4. Ответов: 14
      Последнее сообщение: 11.03.2015, 01:29
    5. Ответов: 2
      Последнее сообщение: 08.03.2015, 17:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00857 seconds with 22 queries