Шифровальщик помогите [email protected]

Printable View

27.10.2017, 16:23
edikkk

Вложений: 1

Шифровальщик помогите [email protected]

[COLOR=#333333][B]Добрый день[/B]. Собственно начал делать логи согласно правилу оформления, [/COLOR][COLOR=#555555][FONT=Arial]Запустил файл AutoLogger.exe он попросил перезагрузку и теперь не загружается система пишет . [B]ntldr is nissing press ctrl-alt-del to restart[/B]
ОС - win serwer 2003
все файлы переименованы с окончанием [/FONT][/COLOR][B][email protected]
[/B]в каждой паке текстовый документ с "[B]Зашифрованы файлы? Пишите: [email][email protected][/email] , и [/B][B]укажите ПИН: 30[/B]"
[ATTACH=CONFIG]666417[/ATTACH]
27.10.2017, 16:25
Info_bot

Уважаемый(ая) [B]edikkk[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.10.2017, 19:23
thyrex

Загрузиться с какого-либо LiveCD возможно?
27.10.2017, 20:14
edikkk

еще не пробовал, боюсь напортить
27.10.2017, 21:02
edikkk

[QUOTE=thyrex;1467573]Загрузиться с какого-либо LiveCD возможно?[/QUOTE]
еще не пробовал, боюсь навредить
28.10.2017, 16:06
edikkk

[QUOTE=thyrex;1467573]Загрузиться с какого-либо LiveCD возможно?[/QUOTE]
во становить загрузчик удалось, не могу прикрепить логи
28.10.2017, 16:25
thyrex

Кнопка Расширенный режим и значок скрепки
01.11.2017, 11:41
edikkk

Вложений: 1

прикладываю autologger
01.11.2017, 21:44
thyrex

Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
DeleteService('QMUdisk');
SetServiceStart('QMUdisk', 4);
DeleteService('kysykiti');
DeleteService('rohopygy');
DeleteService('xoperoze');
DeleteService('zedepory');
DeleteFile('C:\Documents and Settings\11\Application Data\00000000-1434701073-0000-0000-4061864D0C01\knsrB0.tmpfs','32');
DeleteFile('C:\Documents and Settings\11\Application Data\00000000-1434701073-0000-0000-4061864D0C01\jnsoC7.tmp','32');
DeleteFile('C:\Documents and Settings\11\Application Data\00000000-1434701073-0000-0000-4061864D0C01\hnszCA.tmp','32');
DeleteFile('C:\Documents and Settings\11\Local Settings\Application Data\00000000-1434712065-0000-0000-4061864D0C01\snsd104.tmp','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32');
DeleteFile('C:\Program Files\YouTube Accelerator\YouTubeAccelerator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','GoobzoYouTubeAccelerator');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe','32');
DeleteFile('C:\Program Files\Application Assistance\ap.exe','32');
DeleteFile('C:\Program Files\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe','32');
DeleteFile('C:\Program Files\gmsd_re_236\gmsd_re_236.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_re_236','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduAnTray','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ap','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray','command');
DeleteFile('C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Перезагрузку компьютера выполните вручную.

[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]
01.11.2017, 22:20
edikkk

Вложений: 1

повторно
01.11.2017, 22:26
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
01.11.2017, 22:45
edikkk

Вложений: 1

Farbar Recovery Scan Tool
01.11.2017, 22:49
thyrex

[QUOTE][color=red]ATTENTION: ====> FRSTversion is 304 days old and could be outdated[/color][/QUOTE]Переделывайте сбор логов обновленной версией утилиты.

Не вижу в логах примеров зашифрованных файлов
01.11.2017, 23:04
edikkk

Вложений: 2

[ATTACH=CONFIG]666652[/ATTACH]
скачивается эта версия
01.11.2017, 23:17
thyrex

Да, странно.

[quote="thyrex;1468079"]Не вижу в логах примеров зашифрованных файлов[/quote]Проигнорировали
02.11.2017, 21:20
edikkk

[QUOTE=thyrex;1468087]Да, странно.

Проигнорировали[/QUOTE]

как быть теперь с этим
02.11.2017, 22:56
thyrex

Мне еще раз десять нужно обратить внимание на эту фразу?[quote="thyrex;1468079"]Не вижу в логах примеров зашифрованных файлов[/quote]
02.11.2017, 23:27
edikkk

[QUOTE=thyrex;1468160]Мне еще раз десять нужно обратить внимание на эту фразу?[/QUOTE]

не в обиду но обьясните мне темному профану как так может быть 1с легла все файлы заканчиваюся на [email][email protected][/email] и при этом в логах ни чего . я для себя хочу понять что произошло плюс ко всему бугалтерам проблема они не сделали бекап баз
03.11.2017, 07:58
edikkk

[QUOTE=thyrex;1468160]Мне еще раз десять нужно обратить внимание на эту фразу?[/QUOTE]

тогда я ни чего не понимаю по факту есть испорченые файлы, а по логам нет и антивиры не нашли ни чего
03.11.2017, 14:46
thyrex

Пострадали файлы только в папке с базой 1С? Для этого шифратора такое маловероятно. Тем более пострадал и загрузчик ОС.

Данный компьютер явно входит в состав локальной сети. Есть ли еще компьютеры, на которых пострадала информация?
Сохранились ли логи сервера? Как удалось восстановить загрузку сервера?
03.11.2017, 15:36
edikkk

[QUOTE=thyrex;1468188]Пострадали файлы только в папке с базой 1С? Для этого шифратора такое маловероятно. Тем более пострадал и загрузчик ОС.

Данный компьютер явно входит в состав локальной сети. Есть ли еще компьютеры, на которых пострадала информация?
Сохранились ли логи сервера? Как удалось восстановить загрузку сервера?[/QUOTE]

на диске С пострадал загрузчик, а на диске D пострадала вся инфа но важна база 1с, поэтому на нее и упор. в сети 5 компов у всех стоит nod32 и не чего не находит
03.11.2017, 19:12
thyrex

Ответили ведь не на все вопросы, которые я задавал