Восстановление безопасности после шифровальщика

[Latenight63]

Друзья, прошу прощения, мне пришлось срочно отлучиться. выкладываю архив

UDAL_2017-12-29_12-09-56.7z

Изменено 29 декабря, 2017 пользователем Latenight63

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.0
   v400c
   BREG
   deltmp
   delref %SystemDrive%\USERS\CYGULEV\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
   zoo %SystemDrive%\PROGRAMDATA\WINDOWS\SYSTEM32\X64\ISAA.EXE
   bl C0E85AB294826A3A5541059E6355E9CA 101376
   addsgn 1AE3739A5583C48CF42BFB3A88A212FA30B6ECB789056A707AD6FDAC11D61945271703A82B158D082BD07B8A020608FA201CBDF9B95B5C082E77A445D0EE3E94 8 Trojan.Win32.Agent.ikyu [Kaspersky] 7
   
   zoo %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\C8FB318D45AEA05D4B3C61ADFF4FDAA2E339796625F2B83A92F07DCDC42BB30A
   bl 9CD97292CE3508B375DE0667110BB617 3588608
   addsgn A4BC2472546A4C72C78CE638A780EDC56DA7FC26B9FA5755A1ECC9AC18D36A632F07436CF220848F28803F9F56164992FD63682A3D4C66427224F4C7CB062273 64 Trojan.BitCoinMiner 7
   
   zoo %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\TEMP\7AA0ADF4A009E0CB37246F2B65ADA039B51E81BBBED9490013141DBB55A61B94
   zoo %SystemDrive%\USERS\BUHSMR\APPDATA\LOCAL\TEMP\ISAA.EXE
   zoo %SystemDrive%\PROGRAMDATA\ESIF.EXE.AES
   zoo %SystemDrive%\PROGRAMDATA\WINDOWS\SYSTEM32\X64\AFDF598D77D6CBB1453204382B7A3C48E7B20DAF1EFC336C03EAD96A8E36A70C
   chklst
   delvir
   
   rbl 890C6841EFC0170FD045CD716D815F57
   ;---------command-block---------
   delref %SystemDrive%\PROGRAMDATA\DESKTOP\(MSITSTORE) HTTP://WWW.MAIL.RU/MRA?LANG=RU
   delref %SystemDrive%\USERS\SHURUHIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\9.8_0\SEARCH APP BY ASK V2
   delref %SystemDrive%\USERS\KADROVIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\3.5_0\SEARCH APP BY ASK V2
   delref %SystemDrive%\USERS\SHURUHIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\9.8_0\SEARCH EXTENSION BY ASK V3
   delref %SystemDrive%\PROGRAMDATA\GFJGAHDGOMDINKBOKONPMDHILNBMMEFA
   delref 10\[CLSID]
   delref %SystemDrive%\PROGRAM FILES\BONJOUR SDK\BIN\EXPLORERPLUGIN.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\BONJOUR SDK\BIN\EXPLORERPLUGIN.DLL
   zoo %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAINPLACEVIEWER.DLL
   delall %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAINPLACEVIEWER.DLL
   zoo %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAMENU.DLL
   delall %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAMENU.DLL
   zoo %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRATAG.DLL
   delall %SystemDrive%\USERS\GLBUHNSK\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRATAG.DLL
   delref %SystemDrive%\USERS\OLGA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.


 

[Latenight63]

Архив ZOO_  отправил на почту

 

Отчет Malwarebytes прилагаю

mb3 report.txt

[regist]

Удалите в MBAM всё найденное.

[Latenight63]

Удалил. Если на этом все то - Спасибо Вам большое! Поздравляю Вас с наступающим Новым Годом и желаю вам долгих лет счастливой жизни!

[regist]

MBAM деинсталируйте.

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

___________________

 

Спасибо за поздравления и пожелания. Вам также всего хорошего и не болеть. Удачи .