В 6 утра в воскресенье 24 ноября 2019 года на сервере сработал шифровальщик. Сейчас вычистили, но часть баз 1С пострадала. Прошу помощи!
Printable View
В 6 утра в воскресенье 24 ноября 2019 года на сервере сработал шифровальщик. Сейчас вычистили, но часть баз 1С пострадала. Прошу помощи!
Уважаемый(ая) [B]SmartM[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Файл 1Cv8.1CD превратился в 1Cv8.1CD[[email protected]@tuta.io][1224663018-1574575143].xac
Могу прислать его в zip?
Здравствуйте!
Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector]эту[/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php]данную[/url] форму напишите в своём в сообщении здесь.
Загрузил!
Не нужно адрес (если сможете, удалите). Нужна ссылка на результат.
а также:
[quote="Sandor;1506317"]повторите CollectionLog[/quote]
[url]http://virusinfo.info/showthread.php?t=224025[/url]
- эта ссылка нужна?
Нет.
[QUOTE]Важно! Указать действующий e-mail необходимо, т.к. на этот адрес вам будет выслан номер заявки и, впоследствии, будет выслано уведомление о результатах анализа архива. [/QUOTE]
Нужна ссылка на результат анализа, которую вы получили на свой адрес.
По-прежнему ждём:
[quote="Sandor;1506317"]Скачайте актуальную версию Автологера (по ссылке из правил) и повторите CollectionLog.[/quote]
Файл
Это тот же самый. А я прошу скачать заново по [url=http://virusinfo.info/soft/tool.php?tool=AutoLogger]этой ссылке[/url], запустить и собрать новый.
Файл
Автологер вы скачали по указанной мной ссылке в сообщении №10?
Да!
Имя архива [B]AutoLogger-test.zip[/B] ?
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
файлы
Файл C:\Intel\sun.bat вам известен?
Программу Process Hacker 2.39 - ставили самостоятельно?
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
HKLM-x32\...\Run: [2024952] => 2024952
HKLM-x32\...\Run: [1329430] => 1329430
HKLM-x32\...\Run: [3994171] => 3994171
HKLM-x32\...\Run: [3297069] => 3297069
HKLM-x32\...\Run: [3629429] => 3629429
HKLM-x32\...\Run: [1782742] => 1782742
HKLM-x32\...\Run: [2836689] => 2836689
HKU\S-1-5-21-730837576-1880330167-3217559514-1026\...\MountPoints2: {5f4fc086-7d7f-11e2-9f46-0025904de0d0} - F:\SETUP.EXE
HKU\S-1-5-21-730837576-1880330167-3217559514-500\...\MountPoints2: {0aec6a48-3309-11e2-88ff-806e6f6e6963} - D:\AUTORUN.EXE
HKU\S-1-5-21-730837576-1880330167-3217559514-500\...\MountPoints2: {5f4fc086-7d7f-11e2-9f46-0025904de0d0} - F:\SETUP.EXE
Task: {65C5336C-15DB-42E2-84FE-77FD37B2B6AB} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {79C70F0F-09C1-4C97-8DEF-CD470FEF2586} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
Task: {87089D18-4F66-469D-B14A-D1BC42AA87EA} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {E85731EB-125B-4FAB-A3C0-C5BF42346C1F} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер перезагрузите вручную.
Если кроме баз 1С пострадали небольшие файлы, пару таких файлов вместе с запиской о выкупе (если есть) упакуйте в архив и прикрепите к следующему сообщению.
Пароли на доступ по RDP смените.
Файл C:\Intel\sun.bat вам известен?
Нет, удалили его вручную в процессе чистки
Программу Process Hacker 2.39 - ставили самостоятельно?
Нет, удалили ее вручную в процессе чистки
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Мы заархивировали при лечении папки Intel и Process Hacker2, можем прислать
Кроме баз 1С есть еще зашифрованные не такие большие документы?
Если есть, упакуйте в архив и прикрепите к следующему сообщению.
Если была записка с требованием выкупа, ее тоже добавьте в этот архив.
они в предыдущем сообщении в аhхиве файлы.zip
записки не было. мы выключили сервер
Это Cryakl последней версии. К сожалению, расшифровки нет.