05.02.2015, 22:41 | #2 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.85.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c bl 186DB369A20C9E1DF314C989739A81DE 900096 ZOO %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemRoot%\CHROMEMNGR.EXE bl BD36A28E07FAD43AFD9D96E8C1D0AD06 99116 delall %SystemRoot%\CHROMEMNGR.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE del %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE deltmp delnfr czoo restart Если не устанавливали программу Waspace выполните также этот скрипт. Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.85.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c bl C11D14C7DD78F527D4A9F32E86D707BA 1740840 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WAAGENT.EXE bl 48B9DFF8A68F1B279D2E40ABEBC46B78 1058872 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASPPACER.EXE bl 4984FCDF4A3C37D7E2AA44F50F438560 369712 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASUB.EXE deltmp delnfr Далее (даже если проблема решена) выполнить лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) . *Если Гипер сканирование не запускается: Выберите первый вариант сканирования ( Угроза сканирования ) Последний раз редактировалось safety; 06.02.2015 в 08:25. |
06.02.2015, 08:24 | #3 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
кстати, этот файл и есть шифратор xtbl
Цитата:
и вышлите в архиве с паролем infected на адрес safety@chklst.ru |
|
06.02.2015, 17:47 | #4 (ссылка) |
Знаток
|
RP55.RP55, скрипты выполнены, сканирование пока идет.
safety, нет, к сожалению ничего не осталось, включая самих зашифрованных файлов. Кстати, если у вас есть образец - скиньте мне его, пожалуйста, на почту hellromul@gmail.com. В принципе сейчас проблем не наблюдается, вроде все чисто. Меня больше волнует, как оно в принципе попало ко мне. На другом форуме подсказали, что подключились по RDP, подобрав пароль. Как в таком случае обезопасить себя? |
06.02.2015, 17:52 | #5 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
если это личный комп, то следует поработать по нескольким направлениям.
1. изучение методов соц_инженерии 2. настройка локальных политик по ограниченному запуску программ. (чтобы из каких попало мест исполняемые файлы не запускались.) 3. настроить фаерволл в режиме: никого не впускаем из внешней сети без разрешения или правила, выпускаем от себя в сеть только доверенные приложения. --------- + почитать http://chklst.ru/forum/discussion/14...olpoyu-#Item_3 4. если зашифрованных файлов нет, тогда проще.. (ничего не надо расшифровывать), но раз такие номера проходят, значит подумать о создании копий важных документов. можно шифроконтейнер использовать: например от truecrypt или steganos. |
08.02.2015, 15:09 | #6 (ссылка) |
Новичок
Регистрация: 08.02.2015
Сообщений: 3
Репутация: 0
|
Помогите мне, у меня зашифровались документы и картинки, расширение файла XTBL, поставил программу uVS v3.85. Сделал образ. Куда отправить, чтобы мне помогли расшифровать комп. файлы. Помогите. Заранее благодарен.
---------- Добавлено в 13:09 ---------- Предыдущее сообщение было написано в 13:08 ---------- вот образ, запаковалось программой, пароля нет http://rghost.ru/8FG5XTckz |
08.02.2015, 15:21 | #7 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
alexanr2,
по очистке системы выполните скрипт в uVS и дальнейшие рекомендации выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\TBCCINT\TOOLBARSERVICE\TOOLBARSERVICE.EXE addsgn 1A17D79A5583378CF42BFB3A884B6F0D25FFF709FCF6F7AB7D3C3AE50D1527C7561B46A14B58623C23688C69B9E910C9BD34A521BEEA35DA5876E27938732A19 8 Conduit.SearchProtect.N [ESET-NOD32] zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\CHROME.BAT del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.BAT delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TBCCINT\COMMUNITY ALERTS\ALERT.DLL ;------------------------autoscript--------------------------- chklst delvir delref {96F454EA-9D38-474F-B504-56193E00C1A5}\[CLSID] ; etranslator exec C:\Users\User\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall ; WebSecurity Extension version 16.40 exec C:\Program Files\funex\unins000.exe REGT 28 REGT 29 deltmp delnfr ;------------------------------------------------------------- restart ---------- 2. по расшифровке файлов не поможем, нет расшифровки по *xtbl 3. пробуйте восстановить зашифрованные файлы другим образом. (через архивные копии, если есть, через теневые копии тома, если есть такие, через процедуры восстановления удаленных файлов, если получится). |
08.02.2015, 16:05 | #10 (ссылка) |
Новичок
Регистрация: 08.02.2015
Сообщений: 3
Репутация: 0
|
как мне тогда вылечить файлы свои? Уже каспера поставил, систему всю лечил. Ничего не помогает((( и доки все и фотки все(
---------- Добавлено в 14:05 ---------- Предыдущее сообщение было написано в 14:04 ---------- в этой теме.. я их пробовал. |
09.02.2015, 14:36 | #12 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
iRomul, проверьте возможность восстановить данные из теневой копии тома. Чем раньше это сделать, тем лучше, поскольку пространство, зарезервированное под теневые копии ограничено. 3-5% от емкости диска. старые точки будут затираться, чтобы была возможность создать новые.
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Грузит процессор, некоторые файлы стали ярлыками, на флешке все файлы - ярлыки. | andreiak | Безопасность | 5 | 18.02.2014 14:03 |
Востанавливаем файлы или "А как вы восстанавливали файлы?" | Treder | Программы | 8 | 29.01.2014 08:22 |
Зашифрованные папки и файлы! | ASK | Windows XP | 3 | 18.01.2011 14:19 |
Зашифрованные данные | AViZ | Windows XP | 3 | 09.12.2010 21:20 |
Не открываются текстовые файлы и изображения и к ним создались файлы с расшир. drweb | leda | Безопасность | 13 | 03.10.2009 23:29 |