сестра скачала шифратор на ноутбук

12 июня, 2024

скачал.

far.exe?

реаниматор почему то перестал загружаться.

в том смысле что полоска в левом верхнем углу мигает а дальше ничего не происходит.

Даже после нажатии любой клавиши

12 июня, 2024

Возможно не в тот каталог записали скрипт. Посмотрите на загрузочной флэшке должен быть каталог Tools, пробуйте в него копировать скрипт scr2.txt

Возможно придется перезаписать ISO на флэшку

Изменено 12 июня, 2024 пользователем safety

12 июня, 2024

а far.exe только за перезагрузку отвечает?

12 июня, 2024

far загружается первым, потом uVS и управление передается uVS, Если закрыть процесс Far, тогда система уйдет в перезагрзку. Но можно переключаться между окнами, и тогда Far можно использовать как файловый менеджер.

Изменено 12 июня, 2024 пользователем safety

12 июня, 2024

Есть успех!

После скрипта заработал windows defender.

Диспетчер задач разблокирован!но вместо него как и других программ открывается блокнот. ) ;

Ограничения так же остались (к примеру reg.exe)

Вирус пропал.(Наверно)

Собирать новые логи?

Изменено 12 июня, 2024 пользователем Galem333

12 июня, 2024

31 minutes ago, Galem333 said:

Собирать новые логи?

хорошо, сделайте образ автозапуска уже из нормальной системы для контроля. Возможно, ассоциации на исполняемые файлы прописаны в реестре. Если start.exe не запустится, переименуйте в start.com и пробуйте в таком виде запустить от имени Администратора.

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта? Если скопировали, то загрузите его на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено 12 июня, 2024 пользователем safety

12 июня, 2024

1 минуту назад, safety сказал:

30 минут назад, Galem333 сказал:

хорошо, сделайте образ автозапуска уже из нормальной системы для контроля.

Не получится,придëтся опять загружаться с реаниматора.

12 июня, 2024

3 minutes ago, Galem333 said:

Не получится,придëтся опять загружаться с реаниматора.

хорошо, сделайте новый образ из под Winpe

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта? Если скопировали, то загрузите его на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено 12 июня, 2024 пользователем safety

12 июня, 2024

49 минут назад, safety сказал:

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта.

Он лежит в папке в которой он выполнялся?

Я вам его скину.

К сожалению образ придëтся перезааисать.

Проблема про которую я писал с загрузкой.

12 июня, 2024

Quote

Он лежит в папке в которой он выполнялся?

Я вам его скину.

Не получится. uVS смонтирован в BOOT.WIM. Т.е. он загружается в память, После перезагрузки за загрузочной флэшке в BOOT.WIM остается только то, что было изначально собрано.

По этой причине я вас просил скопировать ZOO* в каталог Tools (он за пределами BOOT.WIM), прежде чем перегрузить систему.

12 hours ago, Galem333 said:

К сожалению образ придëтся перезааисать.

Проблема про которую я писал с загрузкой.

Судя по всему процесс восстановления системы в нормальное рабочее состояние затянется. Из под Winpe можно будет проверить возможность восстановления системы из точек восстановления на тот момент, когда еще не было атаки этого вайпера. Я через несколько минут отключаюсь от форума.

----

Вернусь только завтра.

Изменено 13 июня, 2024 пользователем safety

12 июня, 2024

Есть ли способ закинуть uvs на заражëную систему если вирус отключил просмотр всех дисков и флэшек.

33 минуты назад, safety сказал:

Вернусь только завтра.

ок

HP-PC-P8U22UL_2024-06-12_21-50-48_v4.15.1.7z

13 июня, 2024

судя по новому образу файлы, указанные в скрипте scr2 были успешно удалены.

Теперь предстоит восстановление работоспособности системы.

Нет, к сожалению указанных копий bat файлов (которые при удалении попали в ZOO), чтобы просмотреть какие деструктивные действия были выполнены.

-----

часть инфо есть в первом образе, но не полная.

1. этот файл используется в качестве обоев рабочего стола

%Windir%\1.jpg

2. этот файл посмотреть, какие действия выполняет

C:\Windows\PkgMgr.bat (возможно, это исполняемый PkgMgr.exe, переименованный в *.bat)

после запуска uVS из под Winpe можно выполнить следующие действия:

3. Включить учетную запись Администратор (она отключена ) в режиме Главное меню-Реестр - учетные записи.

4. выполнить твики (Главное меню- Дополнительно -Твики):

нажатием на соответствующую кнопку:

1. разблокировать диспетчер задач (уже сделано)

2. разблокировать редактор реестра (уже сделано)

17. Полная очистка ключей Safer

18. снять ограничение на запуск приложений в Explorer

35. очистить ключи IFEO

после выполнения действий проверить работу систему в нормальном режиме.

Изменено 13 июня, 2024 пользователем safety

13 июня, 2024

14 часов назад, safety сказал:

18. снять ограничение на запуск приложений в Explorer

Этого пункта нету.

14 часов назад, safety сказал:

3. Включить учетную запись Администратор (она отключена ) в режиме Главное меню-Реестр - учетные записи.

Я еë включил,но права администратора не получил.

13 июня, 2024

28 minutes ago, Galem333 said:

Этого пункта нету.

скриншот можете показать с окном твиков? этот пункт (18) не активен?

Изменено 13 июня, 2024 пользователем safety

13 июня, 2024

После разблокировки в твикере explorer-a в основной системе ничего не поменялось.

Изменено 13 июня, 2024 пользователем Galem333

сестра скачала шифратор на ноутбук

Рекомендуемые сообщения

Galem333

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

safety

Galem333

kmscom

Изображения в теме

safety

Galem333

safety

Galem333

safety

Galem333

safety

Galem333

safety

Galem333

safety

Galem333

safety

Galem333

Похожий контент

safety

Galem333

kmscom

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum