-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена без расшифровки email-n_nightmare@yahoo.com все документы зашифрованы
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
У вас несколько антивирусов установлено, оставьте один (ESET или Kaspersky Free)
Политики сами настраивали?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Политики сами настраивали?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\drivers\buxmezjb.sys', '');
QuarantineFile('C:\Windows\system32\drivers\fohcouux.sys', '');
QuarantineFile('C:\Windows\system32\drivers\fwpfjjdd.sys', '');
QuarantineFile('C:\Windows\system32\drivers\hznoqgrc.sys', '');
QuarantineFile('C:\Windows\system32\drivers\kzshboqq.sys', '');
QuarantineFile('C:\Windows\system32\drivers\sligfdua.sys', '');
QuarantineFile('C:\Windows\system32\drivers\tgpinzun.sys', '');
QuarantineFile('C:\Windows\system32\drivers\tpghpxug.sys', '');
QuarantineFile('C:\Windows\system32\drivers\xvmdguyi.sys', '');
QuarantineFile('C:\Windows\system32\drivers\yvvivkqu.sys', '');
DeleteFile('C:\Windows\system32\drivers\buxmezjb.sys', '64');
DeleteFile('C:\Windows\system32\drivers\fohcouux.sys', '64');
DeleteFile('C:\Windows\system32\drivers\fwpfjjdd.sys', '64');
DeleteFile('C:\Windows\system32\drivers\hznoqgrc.sys', '64');
DeleteFile('C:\Windows\system32\drivers\kzshboqq.sys', '64');
DeleteFile('C:\Windows\system32\drivers\sligfdua.sys', '64');
DeleteFile('C:\Windows\system32\drivers\tgpinzun.sys', '64');
DeleteFile('C:\Windows\system32\drivers\tpghpxug.sys', '64');
DeleteFile('C:\Windows\system32\drivers\xvmdguyi.sys', '64');
DeleteFile('C:\Windows\system32\drivers\yvvivkqu.sys', '64');
DeleteService('buxmezjb');
DeleteService('fohcouux');
DeleteService('fwpfjjdd');
DeleteService('hznoqgrc');
DeleteService('kzshboqq');
DeleteService('sligfdua');
DeleteService('tgpinzun');
DeleteService('tpghpxug');
DeleteService('xvmdguyi');
DeleteService('yvvivkqu');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Хорошо, тогда перейдем к FRST
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoStartMenuMyGames] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoCommonGroups] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoFavoritesMenu] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoStartMenuMorePrograms] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-675826601-2394784382-2444070628-1000\...\Policies\Explorer: [NoRecentDocsMenu] 1 GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1021\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1017\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1016\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1015\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1013\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1012\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1011\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1009\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1008\User: Restriction <==== ATTENTION GroupPolicyUsers\S-1-5-21-675826601-2394784382-2444070628-1006\User: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-675826601-2394784382-2444070628-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File FF Plugin-x32: JFGuide -> C:\Program Files (x86)\NetSurveillance\CMS\npGuide.dll [No File] FF Plugin-x32: JFWeb -> C:\Program Files (x86)\NetSurveillance\CMS\npWebPlugin.dll [No File] ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => C:\Program Files (x86)\Glary Utilities 5\x64\ContextHandler.dll -> No File ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => C:\Program Files (x86)\Glary Utilities 5\x64\ContextHandler.dll -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Смените пароли на RDP. Зашли через учетную запись KarbanovaJulja
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
На сим все, рекомендации по поводу RDP выполните (я о них писал выше)
Подготовьте лог SecurityCheck by glax24
Ознакомьтесь: Рекомендации после лечения
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Подготовьте лог SecurityCheck by glax24
Ознакомьтесь: Рекомендации после лечения
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Исправляйте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18376 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.12.0.31.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50428.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
LibreOffice 5.1.1.3 v.5.1.1.3 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.114 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.114 Внимание! Скачать обновления
На этом все, что можно было сделать.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18376 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.12.0.31.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50428.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
LibreOffice 5.1.1.3 v.5.1.1.3 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.114 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.114 Внимание! Скачать обновления
На этом все, что можно было сделать.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Добрый день. Форум поддерживает функцию ЛС
- Статус
Похожие темы
- Закрыта
