Показано с 1 по 16 из 16.

Здравствуйте! Видимо зашифрованы файлы. (заявка № 192173)

  1. #1
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8

    Здравствуйте! Видимо зашифрованы файлы.

    Система windows server 2012 r2. не открывается база 1с и другие файлы разрешение файлов стало .СH плюс добавилось в название dalailama2015@protonmail
    Опишите алгоритм действий и возможно ли расшифровать(интересует только база 1с остальное не критично)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) mastermetalla2016, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\rising\rsd\rsmgrsvc.exe');
     TerminateProcessByName('c:\program files (x86)\rising\rsd\popwndexe.exe');
     DeleteFile('c:\program files (x86)\rising\rsd\popwndexe.exe','32');
     DeleteFile('c:\program files (x86)\rising\rsd\rsmgrsvc.exe','32');
     DeleteFile('C:\Program Files (x86)\Rising\RSD\localopt.dll','32');
     DeleteFile('C:\Program Files (x86)\Rising\RSD\rsmginfo.dll','32');
     DeleteFile('C:\Windows\system32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}','64');
     DeleteFile('C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe','32');
    ExecuteSysClean;
    end.
    Перезагрузку компьютера выполните вручную.

    Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    Итак, мною был выполнен присланный вами скрипт в avz, после чего перезагружен компьютер. После перезагрузки был выполнен скрипт №2 в avz и запущена программа HijackThis.Логи прикладываю в вложении. Если возможно помочь в моём случае могу оформить необходимую подписку.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    Произвел описанные вами манипуляции с помощью Farbar Recovery. Логи во вложении.

    - - - - -Добавлено - - - - -

    будьте добры подскажи как оформить подписку для дешифровки файлов если нет аккаунта пэйпал и возможно ли это есть карта виза. или же создать аккаунт необходимо.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    Task: {6A098CFB-0C1C-47C9-9C0A-9A648DEBB4C7} - \RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} -> No File <==== ATTENTION
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    FirewallRules: [{3384EB4E-9F19-489B-84A6-BA0AAEE5FC07}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{B5A0B691-00E4-4236-9FF3-669C64E2EBA0}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{F008B727-626E-493B-A8E2-830899B242A2}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe
    FirewallRules: [{B29ED68F-5011-49D6-B844-BF6035493C2E}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe
    FirewallRules: [{FEF46011-C95E-45B3-868D-B6E693A34953}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduClientRender.exe
    FirewallRules: [{AB2BB8D5-B8DB-4F2A-AE8C-E2B5160AF0E1}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduClientRender.exe
    FirewallRules: [{17B630BA-94BD-4149-BD75-CC36219B89B6}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduUpdate.exe
    FirewallRules: [{9C154971-D8D2-4824-8648-4252ACA4C94A}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduUpdate.exe
    FirewallRules: [{3F6256ED-C36A-43DA-8630-EA88314E1382}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduBugRpt.exe
    FirewallRules: [{9A965286-D1CD-4806-A66C-A2715539850D}] => (Allow) C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.8.0.821\BaiduBugRpt.exe
    HKLM-x32\...\Run: [qq-app-helper] => C:\Users\Администратор\AppData\Local\Temp\qq-app-helper.exe <===== ATTENTION
    HKLM-x32\...\Run: [] => [X]
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91800134_hao_pg
    HKU\S-1-5-21-1609172625-781460400-494434927-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91800134_hao_pg
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-1609172625-781460400-494434927-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF Plugin HKU\.DEFAULT: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [No File]
    CHR Extension: (Ultimate Discounter) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2015-07-28]
    CHR Extension: (The Safe Surfing) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-10-23]
    OPR Extension: (Ultimate Discounter) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2015-07-28]
    OPR Extension: (The Safe Surfing) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-10-23]
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    Описанные вами манипуляции с текстовым файлом и FRST были выполнены, лог во вложении. Хотелось бы получить комментарий специалиста о возможности восстановления файлов и необходимости оформления подписки. Заранее благодарен.
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Образец зашифрованного файла пришлите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    к несчастью не удалось прикрепить файл. пишет некорректный файл. попробовал несколько зашифрованных таблиц эксэля. как быть?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Заархивировать и прикрепить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    Высылаю образец зашифрованного файла. Ридми от баз 1с. Жду ответа. И алгоритма последующих действий.
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Файлов других форматов (doc, xls, jpg) не нашлось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    В архиве по файлу с расширением dwg xls docx
    Вложения Вложения

  16. #15
    Junior Member Репутация
    Регистрация
    02.11.2015
    Сообщений
    13
    Вес репутации
    8
    Здравствуйте, хотел узнать что по поводу моего обращения?

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Ответил в ЛС
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00025 seconds with 17 queries