Перейти к содержанию

DOCM формат файлов. Восстановление системы из образа до заражения.

Андрей Кривуля
 Share

Рекомендуемые сообщения

Андрей Кривуля Новичок

Андрей Кривуля

Опубликовано
Опубликовано

Здравствуйте, уважаемая поддержка. 

 

Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 

 

Проверил систему на вирусы - как написано в инструкции.

 

Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware

 

Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 

 

Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 

 

Теперь вопросы =)

 

1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
4. Как защитить систему и избежать нового заражения? =) 

Благодарю и хорошего Вам дня. 
С Уважением, Андрей.

CollectionLog-2019.06.23-13.17.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Могу ли я восстановить утерянную информацию

Увы, нет.

 

3. Будет ли достаточно SpyHack 5

Надо понимать, речь идет о SpyHunter 5? Относится к нежелательному ПО и подлежит удалению.

 

4. Как защитить систему и избежать нового заражения?

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского? :)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [sdsgfsd] = C:\Users\User\AppData\Local\Temp\sdsgfsd\sdsgfsd.vbs -VC (file missing)
O4 - HKCU\..\Run: [svsc] = C:\Users\User\AppData\Local\svsc.exe -boot (file missing)
Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Андрей Кривуля Новичок

Андрей Кривуля

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

 

 

 

 

Здравствуйте. = )

 

 

 

Увы, нет.

 

То есть то, что хвалят Data Recovery Pro - просто пиар и она на самом деле мне не поможет? =) 

 

Надо понимать, речь идет о SpyHunter 5? 

 

 

Да, извините. Я имел ввиду SpyHunter 5. Его советовали для сканирования пк на наличие maleware и так далее. Как раз с помощью него и нашел шифровальщик и удалил. 

 

Относится к нежелательному ПО и подлежит удалению.

 

То есть SpyHunter 5 - не стоит ставить и это опять же пиар? И программа просто делает вид, что помогает - а на самом деле она не желательна на пк? Я так понял, вы советуете ее удалить и для борьбы с всякими шифровальщиками советуете установить  AdwCleaner (by Malwarebytes) ? Его будет достаточно? + Kaspersky Total Security?

 

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского?  :)

 

 

Установить Kaspersky Total Security? =) 

 

А на этот вопрос не ответили =) 

 

 

 

 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

Файл прикрепил. После нажатия Clean&Repair появился еще  AdwCleaner[C00].txt

 

Его тоже прикрепил.

 

 

 

Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Спасибо за подробные ответы и помощь. 

 

С Уважением,

Андрей.

AdwCleanerS00.txt

AdwCleanerC00.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

SpyHunter 5 - не стоит ставить и это опять же пиар?

Относится к разряду страшилок, т.н. scareware.

 

С помощью AdwCleaner мы избавимся от хвостов adware.

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Андрей Кривуля Новичок

Андрей Кривуля

Опубликовано
  • Автор
Опубликовано

SpyHunter 5 всё ещё в списке установленных. Почему не удалили?

 

Не успел. Удалил =) Просто у меня вирусняк еще сожрал контрольную панель =) Вот после всех анализов - буду восстанавливать Windows из образа до заражения =) 

 

Вот новые файлы с удаленным SpyHunter 5

 

Спасибо.

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Андрей Кривуля Новичок

Андрей Кривуля

Опубликовано
  • Автор
Опубликовано

 

буду восстанавливать Windows из образа до заражения

Тогда и нет смысла в дальнейшей очистке.

 

 

 

 

 

Так я ж сразу несколько раз задавал этот вопрос - если я восстановлю из образа - который создавался до заражения и удалю все .DOCM файлы, установлю Kaspersky Total Security и AdwCleaner. Все будет ОК? =) 

 

Или нужно прям форматировать все HDD и SDD, а затем ставить чистую систему с флешки? =)

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Андрей Кривуля Новичок

Андрей Кривуля

Опубликовано
  • Автор
Опубликовано

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.

 

 

Хорошо. Спасибо. 

 

То есть все, что мне нужно сделать после восстановления с образа - установить Kaspersky Total Security, затем на всякий проверить этой утилитой и переодически просто ею проверять раз в месяц. Так? И все будет окей =) Никакие шифровальщики не страшны? =)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • tr01
      Нужна помощь с восстановлением файлов
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
×
×
  • Создать...