Перейти к содержанию

сестра скачала шифратор на ноутбук


Рекомендуемые сообщения

скачал.

 

far.exe?

 

реаниматор почему то перестал загружаться.

в том смысле что полоска в левом верхнем углу мигает а дальше ничего не происходит.

Даже после нажатии любой клавиши

 

Ссылка на комментарий
Поделиться на другие сайты

Возможно не в тот каталог записали скрипт. Посмотрите на загрузочной флэшке должен быть каталог Tools, пробуйте в него копировать скрипт scr2.txt

 

Возможно придется перезаписать ISO на флэшку

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

far загружается первым, потом uVS и управление передается uVS, Если закрыть процесс Far, тогда система уйдет в перезагрзку. Но можно переключаться между окнами, и тогда Far можно использовать как файловый менеджер.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Есть успех! 

После скрипта заработал windows defender. 

Диспетчер задач разблокирован!но вместо него как и других программ открывается блокнот. ) ;

Ограничения так же остались (к примеру reg.exe) 

17181999806526807750904025687921.jpg

 

Вирус пропал.(Наверно) 

 

Собирать новые логи? 

Изменено пользователем Galem333
Ссылка на комментарий
Поделиться на другие сайты

31 minutes ago, Galem333 said:

Собирать новые логи? 

хорошо, сделайте образ автозапуска уже из нормальной системы для контроля. Возможно, ассоциации на исполняемые файлы прописаны в реестре. Если start.exe не запустится, переименуйте в start.com и пробуйте в таком виде запустить от имени Администратора.

 

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта? Если скопировали, то загрузите его на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, safety сказал:
30 минут назад, Galem333 сказал:

 

хорошо, сделайте образ автозапуска уже из нормальной системы для контроля.

Не получится,придëтся опять загружаться с реаниматора.

Ссылка на комментарий
Поделиться на другие сайты

3 minutes ago, Galem333 said:

Не получится,придëтся опять загружаться с реаниматора.

хорошо, сделайте новый образ из под Winpe

 

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта? Если скопировали, то загрузите его на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

49 минут назад, safety сказал:

ZOO смогли забрать на флэшку из под Winpe после выполнения скрипта. 

Он лежит в папке в которой он выполнялся? 

Я вам его скину. 

 

К сожалению образ придëтся перезааисать. 

Проблема про которую я писал с загрузкой. 

Ссылка на комментарий
Поделиться на другие сайты

Quote

 

Он лежит в папке в которой он выполнялся? 

Я вам его скину. 

 

Не получится. uVS смонтирован в BOOT.WIM.  Т.е. он загружается в память, После перезагрузки за загрузочной флэшке в BOOT.WIM остается только то, что было изначально собрано.

По этой причине я вас просил скопировать ZOO* в каталог Tools (он за пределами BOOT.WIM), прежде чем перегрузить систему.

12 hours ago, Galem333 said:

К сожалению образ придëтся перезааисать. 

Проблема про которую я писал с загрузкой. 

Судя по всему процесс восстановления системы в нормальное рабочее состояние затянется. Из под Winpe можно будет проверить возможность восстановления системы из точек восстановления на тот момент, когда еще не было атаки этого вайпера. Я через несколько минут отключаюсь от форума.

----

Вернусь только завтра.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Есть ли способ закинуть uvs на заражëную систему если вирус отключил просмотр всех дисков и флэшек.

 

33 минуты назад, safety сказал:

Вернусь только завтра.

ок

HP-PC-P8U22UL_2024-06-12_21-50-48_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты

судя по новому образу файлы, указанные в скрипте scr2 были успешно удалены.

Теперь предстоит восстановление работоспособности системы.

Нет, к сожалению указанных копий bat файлов (которые при удалении попали в ZOO), чтобы просмотреть какие деструктивные действия были выполнены.

-----

часть инфо есть в первом образе, но не полная.

 

1. этот файл используется в качестве обоев рабочего стола

%Windir%\1.jpg

2.  этот файл посмотреть, какие действия выполняет

C:\Windows\PkgMgr.bat (возможно, это исполняемый PkgMgr.exe, переименованный в *.bat)

 

после запуска uVS из под Winpe можно выполнить следующие действия:

 

3. Включить учетную запись Администратор (она отключена ) в режиме Главное меню-Реестр - учетные записи.

 

4. выполнить твики (Главное меню- Дополнительно -Твики):

нажатием на соответствующую кнопку:

1. разблокировать диспетчер задач (уже сделано)

2. разблокировать редактор реестра (уже сделано)

17. Полная очистка ключей Safer

18. снять ограничение на запуск приложений в Explorer

35. очистить ключи IFEO

 

после выполнения действий проверить работу систему в нормальном режиме.

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, safety сказал:

18. снять ограничение на запуск приложений в Explorer

Этого пункта нету. 

 

14 часов назад, safety сказал:

3. Включить учетную запись Администратор (она отключена ) в режиме Главное меню-Реестр - учетные записи.

Я еë включил,но права администратора не получил. 

Ссылка на комментарий
Поделиться на другие сайты

28 minutes ago, Galem333 said:

Этого пункта нету. 

скриншот можете показать с окном твиков? этот пункт (18) не активен?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

После разблокировки в твикере explorer-a в основной системе ничего не поменялось. 

Изменено пользователем Galem333
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Volchek
      От Volchek
      Требуется KES 11.2.0.2254, так как с версией 11.3.0.773 возникает проблема одного из приложений, которая отсутствовала с предыдущим релизом.
    • Pavel Morozov
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • organism
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Gyutaro0
    • Naicer
      От Naicer
      недавно скачал обход дс и ютуба от peekbot и после у меня закачался этот майнер и +троян удалив он восстанавливается пробовал смотреть в автозагрузках его там нет, но у меня не открывается "планировщик задач" полагая из-за трояна очень нужна помощь   
×
×
  • Создать...