Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Шифровальщика уже нет в системе. Но есть другие заражения, которые сейчас будем удалять:Вирус удален или просто скрылся?
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('c:\users\user\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\user\appdata\roaming\tablacusapp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Users\User\AppData\Roaming\PBot\launchall.py', '');
QuarantineFile('C:\Users\User\AppData\Roaming\TablacusApp\TablacusApp.exe', '');
DeleteFile('C:\Users\User\AppData\Roaming\PBot\launchall.py', '32');
DeleteFile('C:\Users\User\AppData\Roaming\TablacusApp\TablacusApp.exe', '32');
DeleteFileMask('c:\users\user\appdata\roaming\pbot', '*', true);
DeleteFileMask('c:\users\user\appdata\roaming\tablacusapp', '*', true);
DeleteDirectory('c:\users\user\appdata\roaming\pbot');
DeleteDirectory('c:\users\user\appdata\roaming\tablacusapp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PBot','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TablacusApp','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xtcyfvgjri','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Вы ни чего не удалили. Прочтите инструкцию внимательнее и переделайте.Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [131]
MSCONFIG\startupreg: PBot =>
MSCONFIG\startupreg: xtcyfvgjri =>
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {0034e26a-ec51-11e5-ad53-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {0034e27b-ec51-11e5-ad53-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {5a2eab7f-ec43-11e5-8ec5-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {5a2eab92-ec43-11e5-8ec5-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {8b0f7d86-ec49-11e5-b6c8-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {9e787651-ec58-11e5-a0be-001e8c66a2ce} - F:\AutoRun.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk -> (No File)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Reboot:
end
Лог вставили, теперь видите их? Закрывайте уязвимости.Извините,не поняла по каким ссылкам установить обновления.
В заключительных рекомендациях после лечения сейчас все прочтете.Скажите,а все программы,которыми я пользовалась для чистки от заражений удалять?
К сожалению пока ни как.Как можно восстановить шифрованные данные?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?