Перейти к содержанию

DOCM формат файлов. Восстановление системы из образа до заражения.


Рекомендуемые сообщения

Андрей Кривуля

Здравствуйте, уважаемая поддержка. 

 

Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 

 

Проверил систему на вирусы - как написано в инструкции.

 

Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware

 

Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 

 

Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 

 

Теперь вопросы =)

 

1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
4. Как защитить систему и избежать нового заражения? =) 

Благодарю и хорошего Вам дня. 
С Уважением, Андрей.

CollectionLog-2019.06.23-13.17.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

1. Могу ли я восстановить утерянную информацию

Увы, нет.

 

3. Будет ли достаточно SpyHack 5

Надо понимать, речь идет о SpyHunter 5? Относится к нежелательному ПО и подлежит удалению.

 

4. Как защитить систему и избежать нового заражения?

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского? :)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [sdsgfsd] = C:\Users\User\AppData\Local\Temp\sdsgfsd\sdsgfsd.vbs -VC (file missing)
O4 - HKCU\..\Run: [svsc] = C:\Users\User\AppData\Local\svsc.exe -boot (file missing)
Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Андрей Кривуля

Здравствуйте!

 

 

 

 

 

Здравствуйте. = )

 

 

 

Увы, нет.

 

То есть то, что хвалят Data Recovery Pro - просто пиар и она на самом деле мне не поможет? =) 

 

Надо понимать, речь идет о SpyHunter 5? 

 

 

Да, извините. Я имел ввиду SpyHunter 5. Его советовали для сканирования пк на наличие maleware и так далее. Как раз с помощью него и нашел шифровальщик и удалил. 

 

Относится к нежелательному ПО и подлежит удалению.

 

То есть SpyHunter 5 - не стоит ставить и это опять же пиар? И программа просто делает вид, что помогает - а на самом деле она не желательна на пк? Я так понял, вы советуете ее удалить и для борьбы с всякими шифровальщиками советуете установить  AdwCleaner (by Malwarebytes) ? Его будет достаточно? + Kaspersky Total Security?

 

Как думаете, что вам посоветуют на форуме фанклуба лаборатории Касперского?  :)

 

 

Установить Kaspersky Total Security? =) 

 

А на этот вопрос не ответили =) 

 

 

 

 

2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)

Файл прикрепил. После нажатия Clean&Repair появился еще  AdwCleaner[C00].txt

 

Его тоже прикрепил.

 

 

 

Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Спасибо за подробные ответы и помощь. 

 

С Уважением,

Андрей.

AdwCleanerS00.txt

AdwCleanerC00.txt

Ссылка на сообщение
Поделиться на другие сайты

SpyHunter 5 - не стоит ставить и это опять же пиар?

Относится к разряду страшилок, т.н. scareware.

 

С помощью AdwCleaner мы избавимся от хвостов adware.

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Андрей Кривуля

SpyHunter 5 всё ещё в списке установленных. Почему не удалили?

 

Не успел. Удалил =) Просто у меня вирусняк еще сожрал контрольную панель =) Вот после всех анализов - буду восстанавливать Windows из образа до заражения =) 

 

Вот новые файлы с удаленным SpyHunter 5

 

Спасибо.

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Андрей Кривуля

 

буду восстанавливать Windows из образа до заражения

Тогда и нет смысла в дальнейшей очистке.

 

 

 

 

 

Так я ж сразу несколько раз задавал этот вопрос - если я восстановлю из образа - который создавался до заражения и удалю все .DOCM файлы, установлю Kaspersky Total Security и AdwCleaner. Все будет ОК? =) 

 

Или нужно прям форматировать все HDD и SDD, а затем ставить чистую систему с флешки? =)

Ссылка на сообщение
Поделиться на другие сайты

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.
Ссылка на сообщение
Поделиться на другие сайты
Андрей Кривуля

Такого рода вымогатели не прячутся и не размножаются, а самоуничтожаются после своего чёрного дела.

 

и AdwCleaner

Это не постоянная защита, а инструмент для разовой очистки. При необходимости скачиваете с сайта актуальную версию.

 

 

Хорошо. Спасибо. 

 

То есть все, что мне нужно сделать после восстановления с образа - установить Kaspersky Total Security, затем на всякий проверить этой утилитой и переодически просто ею проверять раз в месяц. Так? И все будет окей =) Никакие шифровальщики не страшны? =)

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
×
×
  • Создать...