Зашифрованы базы 1С

Printable View

20.11.2014, 16:47
master_v

Зашифрованы базы 1С

[COLOR=#333333]1. Текстовый файл [/COLOR]ПРОЧТИ МЕНЯ !!!.txt [COLOR=#333333]с содержимым :[/COLOR]Внимание! Ваш сервер взломан! Ваши файлы зашифрованы!Чтобы восстановить свои файлы и получить к ним доступ,
пишите:
[email][email protected][/email]
Обязательно сообщите в письме Ваш персональный номер:
82.207.64.129
Ответ на письмо поступит в течение 24 часов
20.11.2014, 16:48
Info_bot

Уважаемый(ая) [B]master_v[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.11.2014, 17:06
mike 1

[url]http://virusinfo.info/pravila.html[/url]
20.11.2014, 17:18
master_v

Вложений: 3

Заметил, они с первого раза не пошли.
20.11.2014, 17:46
mike 1

Антивирусом файлы какие-либо удаляли?

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
20.11.2014, 18:02
master_v

Вложений: 1

Вот

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Файлы не удаляли.
20.11.2014, 18:37
mike 1

[QUOTE]
RDPTHREAD.EXE - HackTool.Win32.RDPBrute.c [Kaspersky]
[/QUOTE]

Сбрутили они Вас. Меняйте пароли от RDP и учетных записей.

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg

dirzooex %SystemDrive%\SYSTEM\FRDPB2
delall %SystemDrive%\SYSTEM\FRDPB2\FRDPB2\RDPTHREAD.EXE
zoo %SystemDrive%\PROGRAM FILES\CITRIX\SYSTEM32\IEXPLORE.EXE
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
20.11.2014, 18:50
master_v

Вложений: 3

Пустил перезагрузку.10 мин зброшу SITLog

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

SITLog
20.11.2014, 19:06
mike 1

[QUOTE]
C:\Documents and Settings.rar
[/QUOTE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Выполните скрипт в AVZ:

[CODE]
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var FS : TFileSearch;
begin
ADirName := NormalDir(ADirName);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*');
while FS.Found do
begin
SetStatusBarText(ADirName + FS.FileName);
if FS.IsDir then
begin
if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
ScanDir(ADirName + FS.FileName, AScanSubDir)
end
else
AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));

FS.FindNext;
end;
FS.Free;
end;

begin
ClearLog;
ScanDir('C:\Documents and Settings\Каса\Избранное', true);
ScanDir('C:\system', true);
ScanDir('C:\Program Files\WinRAR', true);
ScanDir('C:\Documents and Settings\Каса\Application Data\WinRAR', true);
SaveLog(GetAVZDirectory + 'MD5&Size.txt');
end.
[/CODE]

После выполнения скрипта AVZ будет сформирован отчет MD5&Size.txt. Выложите файл MD5&Size.txt из папки с авз.
20.11.2014, 19:30
master_v

Вложений: 1

Там файл 2.5 гб. может занять немножко времени.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Все
20.11.2014, 19:47
mike 1

[QUOTE]Там файл 2.5 гб. может занять немножко времени.[/QUOTE]
Тогда не надо не грузите его. Что внутри архива?

Эту папку удалите:
[QUOTE]C:\system[/QUOTE]
20.11.2014, 19:49
master_v

Я написал размер Documents and Settings.rar ,а virus.zip маленький.Все Вам отправил.
21.11.2014, 11:52
master_v

Есть шансы?
21.11.2014, 16:06
mike 1

Самого шифратора не удалось найти по логам, поэтому думаю расшифровать файлы без помощи злоумышленника не получится.
21.11.2014, 16:25
master_v

На диске D есть папка Logs- на нее матерился антивирус, там куча dll, exe .
21.11.2014, 18:18
mike 1

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
24.11.2014, 15:32
master_v

файл отправил
24.11.2014, 15:53
mike 1

Шифратора в присланных файлах нет.
24.11.2014, 16:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]