11.03.2015, 08:45 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
если диск с зашифрованными доками переставили на другой комп, то в этом случае надо для образа выбирать систему диска, пострадавшего от шифратора.
вы скорее всего сделали образ не зараженной, а чистой системы. |
11.03.2015, 09:09 | #3 (ссылка) |
Новичок
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
|
подскажите как сделать нужный образ
---------- Добавлено в 08:09 ---------- Предыдущее сообщение было написано в 07:53 ---------- при запуске uVs выбираю нужный - зараженный - каталог windows, нажимаю "запустить под пользователем" и выбдает ошибку "Не удалось подключить System, системе не удалось найти указанный путь" |
11.03.2015, 09:45 | #5 (ссылка) |
Новичок
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
|
все так и сделал - вот скрин ошибки
скрин ---------- Добавлено в 08:45 ---------- Предыдущее сообщение было написано в 08:12 ---------- почитал доки, выбрал на другом диске нужную папку windows - uVs стал запускаться. но тут же закрывается с ошибкой, как было изначально на зараженном ПК |
11.03.2015, 10:05 | #8 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
пробуйте с загрузочного диска создать образ зараженной системы
http://pchelpforum.ru/f26/t134964/ |
Ads | |
11.03.2015, 11:14 | #10 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html но в данном случае лог должен быть сделан на зараженной системе. |
11.03.2015, 14:33 | #15 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
скопируйте текст из кода в блокнот и сохраните в файле с именем fixlist.txt в папку откуда запускаете frst.exe
далее, еще раз запустите frst.exe если не запущен и нажмите на кнопку fix Код:
( ) C:\Windows\Temp\mrt620C.tmp\stdrt.exe (DuckingsInitialisationHexed DemandedDiagonallyElastic) C:\ProgramData\Windows\csrss.exe HKLM-x32\...\Run: [Client Server Runtime Subsystem] => C:\ProgramData\Windows\csrss.exe [851968 2015-03-10] (DuckingsInitialisationHexed DemandedDiagonallyElastic) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms} HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie SearchScopes: HKLM -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/?query={searchTerms} SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {13D80149-4F64-4BBD-BDA6-A47CE23CAF32} URL = http://search.qip.ru/?query={searchTerms} SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321139&octid=EB_ORIGINAL_CTID&ISID=ME3ECD440-501D-48EC-B470-EC92CFE756A8&SearchSource=58&CUI=&UM=8&UP=SP33EEC9B1-ECF8-4519-A4C8-A11F2DF1884C&q={searchTerms}&SSPV= StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV CHR Extension: (No Name) - C:\Users\savenkovaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-09-19] CHR Extension: (No Name) - C:\Users\savenkovaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdgncmfemcgcpdmchnenmkgfdpedokgo [2014-12-12] CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx S1 {693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64; system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys [X] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /svc [X] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] S3 bupeawda; \\?\C:\USERS\SAVENKOVAA\DOWNLOADS\UVS_V385.3\dtaqss !\\-1\000 [X] Reboot: после перезагрузки проверьте возможность восстановления документов из теневой копии, так как зашифрованы у вас документы на диске C (возможно и на других дисках) |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Aайлы превратились в файлы с расширением .xtbl | Rustam66 | Безопасность | 10 | 08.03.2015 01:11 |
Все файлы превратились в файлы с расширением .xtbl | 7474 | Безопасность | 6 | 05.03.2015 01:08 |
Выручайте файлы в единственном экземпляре зашифровали в.xtbl | Lizer2210 | Безопасность | 1 | 02.03.2015 13:21 |
Файлы зашифрованы под формат xtbl | Katichka | Общение по интересам | 1 | 26.02.2015 19:38 |
Все изображения превратились в файлы с расширением .xtbl | Lakkuchu | Безопасность | 17 | 24.02.2015 00:06 |