Добрый день.
После запуска файла из спама (отправил в карантин), все файлы зашифровались (пример во вложении) и появились readme-файлы по всему жесткому диску с инструкцией. Из-за недостаточных прав пользователя, что-то осталось торчать в системе и хочет подчистить за собой хвосты (как мне видится) (скрин во вложении)
Скан делал из безопасного режима, ибо в обычном что-то постоянно долбится с запросом на исполнение с правами админа.
Есть шансы пофиксить ?
Последний раз редактировалось толстый29; 08.12.2018 в 00:40.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) толстый29, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
сам его заархивировал и поставил пароль virus
Результат загрузки
Файл сохранён как 181207_213345_bank-otkr.zakaz_5c0ae73915c4c.zip
Размер файла 3288
MD5 6131fe9cd873641afe931b4c0f93f162
Файл закачан, спасибо!
скрин приложить не хватает места, смысл такой: c:\windows\system32\vssadrr Delete shadows /all /quiet запрашивает права админа
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Доброе утро.
во вложении из под safe-mode, правда
спасибо
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F7842C6791F05D6714C2317285A9FE93E1C2B03449EE5AAEAAF7D5ED5CEF68FB0F79A4DE65CC5EDC7B4 8 Trojan.Encoder.26818 [DrWeb] 7 chklst delvir deltmp czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Добрый вечер.
Прошу прощения за долгий ответ
Информация
Результат загрузки
Файл сохранён как
181211_153737_ZOO_2018-12-11_18-24-39_5c0fd9c122c13.zip
Размер файла
917135
MD5
e0332eb8877f9121d6c8bb63e838ca94
Файл закачан, спасибо!
Логи прикрепил.
Единственное, что SecurityCheck не обновился, ибо комп к сетки цеплять не особо хочется. Если совсем надо, то можно устроить.
Спасибо.
Шифровальщик удалён.
Обновляйте систему:Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
Это всё обновлять обязательно.Adobe Flash Player 16 ActiveX v.16.0.0.305 Внимание! Скачать обновления
Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления
И файрволл включите. После этого можно повторно проверить SecurityCheck с доступом в интернет.Брандмауэр Windows (MpsSvc) - Служба остановлена
WBR,
Vadim
Спасибо !Сообщение от Vvvyg
зашифрованное не вернуть назад ?
Сначала ставить обновления, потом в сеть его пускать или можно онлайн обновиться ?
Расширение какое у файлов, crypted000007?
Если шифровальщик с правами юзера запускался, то теневые копии остались. Точки восстановления есть? В свойствах папок на вкладке "Предыдущие версии" что-то есть?
WBR,
Vadim
расширение это.
да, предыдущие версии папок остались. Можете подсказать, как безопаснее все восстановить ?
Последний раз редактировалось толстый29; 12.12.2018 в 09:54.
Открыть для корневых папок "Предыдущие версии" и скопировать из самой свежей перед шифрованием теневой копии все файлы.
WBR,
Vadim
все таки не на все папки есть копии. Но часть восстановил. Есть шанс восстановить остальное ?
систему обновляю
Если нет - вряд ли. Можно попытаться утилитами для восстановления удалённых файлов, но шансов немного.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \bank-otkr.zakaz.docx.zip - HEUR:Trojan-Downloader.Script.Gene=
ric- \csrss.exe._166037328c74cd95bf3512454938803a142a5c de - VHO:Tro=
jan-Ransom.Win32.Shade.pfc ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) толстый29, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
