Шифровальщик CryptXXX

[Sandor]

Если не трудно, предыдущую рекомендацию все же сделайте.

+

Если до момента заражения было включено Восстановление системы, можно попробовать восстановить поврежденные файлы из теневых копий.

[Dantes48]

Лог во вложении.

После снятия образа зараженной системы попробую восстановить по точкам восстановления.

DigiSign.rar

[Sandor]

Зачем же из образа? Соберите логи FRST, проверим, не осталось ли чего и можно будет пробовать на этой же системе восстановить.

[Dantes48]

Образ в архив: ждать появления дешифратора

[Sandor]

Если еще не начали делать образ, упакуйте этот файл

C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_412_for_KB4038777~31bf3856ad364e35~amd64~~6.1.1.3.cat

с несколькими соседними из этой же папки в архив и прикрепите к следующему сообщению. Изменено 27 сентября, 2017 пользователем Sandor

[Dantes48]

В данном каталоге такой файл отсутствует

[Sandor]

Логи FRST (сообщение №10) соберете?

[Dantes48]

Соберу, как образ до конца снимется

[Sandor]

такой файл отсутствует

Если есть другие, покажите их (упакуйте и прикрепите).

[Dantes48]

Файлы в архиве

Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

[Sandor]

Если не возражаете, еще исследование:

 

Пожалуйста, скачайте: https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx

Отключите интернет.

Создайте папку C:\sigcheck и распакуйте в неё файл sigcheck64.exe

Нажмите Win + R, введите cmd и нажмите ОК.

Вставьте такую строку:

C:\sigcheck\sigcheck64.exe -i C:\Windows\System32\Audiosrv.dll > C:\sigcheck\sign.log

и нажмите ENTER.

Прикрепите лог "C:\sigcheck\sign.log"

[Dantes48]

Логи во вложении

sign.log

Shortcut.txt

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-508854890-3005646773-2128989495-1000\...\Run: [MyProgram] => 888f237ef69b11101f4a17c60041f742.exe
  CHR HKU\S-1-5-21-508854890-3005646773-2128989495-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=6f1268044e436d0f0ad24e3g4zatdo0eaq2w9bfw8w&from=amz&uid=ST1000DM003-1ER162_Z4Y2GMSHXXXXZ4Y2GMSH&type=sp
  CHR DefaultSearchKeyword: ChromeDefaultData2 -> 28initialpage123
  CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-13] <==== ATTENTION
  CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-09-27] <==== ATTENTION
  S2 Wgeuneloj; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
  S2 Wgeuneloj; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
  2017-09-25 10:46 - 2017-09-25 10:46 - 000004468 _____ C:\Program Files\how_to_back_files.html
  2017-09-25 10:36 - 2017-09-25 10:36 - 000004468 _____ C:\Program Files (x86)\how_to_back_files.html
  2017-09-25 10:07 - 2017-09-25 10:07 - 000004468 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
  2017-09-25 09:56 - 2017-09-25 09:56 - 000004468 _____ C:\Users\admin\Desktop\how_to_back_files.html
  2017-09-25 09:36 - 2017-09-25 09:36 - 000004468 _____ C:\Users\admin\Documents\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Documents\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Desktop\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Default\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\how_to_back_files.html
  2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\Downloads\how_to_back_files.html
  2017-09-25 09:34 - 2017-09-25 09:34 - 000004468 _____ C:\Users\Public\how_to_back_files.html
  2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\Все пользователи\how_to_back_files.html
  2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\how_to_back_files.html
  2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\ProgramData\how_to_back_files.html
  2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\how_to_back_files.html
  Task: {122FB2EF-6A2C-45C1-9D02-8B440611E377} - \{0B0A0C47-7E0E-790A-0E11-79780908117F} -> No File <==== ATTENTION
  Task: {DBE3F315-D9AB-4BDE-8FF4-DE7E70838A0C} - \Gntypluhsp -> No File <==== ATTENTION
  FirewallRules: [{7E574B5A-F473-4220-A055-84DF8E43F763}] => (Allow) C:\Program Files\UBar\ubar.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

+

Нажмите Win + R, введите cmd и нажмите ENTER

Введите

systeminfo > desktop\sysinfo.txt

и нажмите ENTER.

Пришлите файл sysinfo.txt с рабочего стола.

[Dantes48]

Логи во вложении

Fixlog.txt

sysinfo.txt

[Sandor]

На этом закончим.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.