globeimposter 2.0 DOCM формат файлов. Восстановление системы из образа до заражения.

[Андрей Кривуля]

Здравствуйте, уважаемая поддержка. 

 

Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 

 

Проверил систему на вирусы - как написано в инструкции.

 

Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware

 

Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 

 

Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 

 

Теперь вопросы =)

 

1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
4. Как защитить систему и избежать нового заражения? =) 

Благодарю и хорошего Вам дня. 
С Уважением, Андрей.

CollectionLog-2019.06.23-13.17.zip

[Sandor]

Здравствуйте!

 

1. Могу ли я восстановить утерянную информацию

Увы, нет.

 

3. Будет ли достаточно SpyHack 5

Надо понимать, речь идет о SpyHunter 5? Относится к нежелательному ПО и подлежит удалению.

 

4. Как защитить систему и избежать нового заражения?

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского?

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [sdsgfsd] = C:\Users\User\AppData\Local\Temp\sdsgfsd\sdsgfsd.vbs -VC (file missing)
O4 - HKCU\..\Run: [svsc] = C:\Users\User\AppData\Local\svsc.exe -boot (file missing)

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Андрей Кривуля]

Здравствуйте!

 

 

 

 

 

Здравствуйте. = )

 

 

 

Увы, нет.

 

То есть то, что хвалят Data Recovery Pro - просто пиар и она на самом деле мне не поможет? =) 

 

Надо понимать, речь идет о SpyHunter 5? 

 

 

Да, извините. Я имел ввиду SpyHunter 5. Его советовали для сканирования пк на наличие maleware и так далее. Как раз с помощью него и нашел шифровальщик и удалил. 

 

Относится к нежелательному ПО и подлежит удалению.

 

То есть SpyHunter 5 - не стоит ставить и это опять же пиар? И программа просто делает вид, что помогает - а на самом деле она не желательна на пк? Я так понял, вы советуете ее удалить и для борьбы с всякими шифровальщиками советуете установить  AdwCleaner (by Malwarebytes) ? Его будет достаточно? + Kaspersky Total Security?

 

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского? 

 

 

Установить Kaspersky Total Security? =) 

 

А на этот вопрос не ответили =) 

 

 

 

 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

Файл прикрепил. После нажатия Clean&Repair появился еще  AdwCleaner[C00].txt

 

Его тоже прикрепил.

 

 

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Спасибо за подробные ответы и помощь. 

 

С Уважением,

Андрей.

AdwCleanerS00.txt

AdwCleanerC00.txt

[Sandor]

SpyHunter 5 - не стоит ставить и это опять же пиар?

Относится к разряду страшилок, т.н. scareware.

 

С помощью AdwCleaner мы избавимся от хвостов adware.

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Андрей Кривуля]

Готово. Файлы прикрепил. 

Спасибо. 

 

С Уважением,
Андрей.

Addition.txt

FRST.txt

[Sandor]

SpyHunter 5 всё ещё в списке установленных. Почему не удалили?

[Андрей Кривуля]

SpyHunter 5 всё ещё в списке установленных. Почему не удалили?

 

Не успел. Удалил =) Просто у меня вирусняк еще сожрал контрольную панель =) Вот после всех анализов - буду восстанавливать Windows из образа до заражения =) 

 

Вот новые файлы с удаленным SpyHunter 5

 

Спасибо.

FRST.txt

Addition.txt

[Sandor]

буду восстанавливать Windows из образа до заражения

Тогда и нет смысла в дальнейшей очистке.

[Андрей Кривуля]

 

буду восстанавливать Windows из образа до заражения

Тогда и нет смысла в дальнейшей очистке.

 

 

 

 

 

Так я ж сразу несколько раз задавал этот вопрос - если я восстановлю из образа - который создавался до заражения и удалю все .DOCM файлы, установлю Kaspersky Total Security и AdwCleaner. Все будет ОК? =) 

 

Или нужно прям форматировать все HDD и SDD, а затем ставить чистую систему с флешки? =)

[Sandor]

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.

[Андрей Кривуля]

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.

 

 

Хорошо. Спасибо. 

 

То есть все, что мне нужно сделать после восстановления с образа - установить Kaspersky Total Security, затем на всякий проверить этой утилитой и переодически просто ею проверять раз в месяц. Так? И все будет окей =) Никакие шифровальщики не страшны? =)

[Sandor]

Ориентируйтесь на Рекомендации после удаления вредоносного ПО