Не оставил ли за собой хвостов вирус-шифровальщик?

[Stolyar]

Не оставил ли за собой хвостов вирус-шифровальщик?

Ну как водится, сколько людям не объясняй что такое вирус шифровальщик, все равно найдется умный человек который его запустит...
В принципе все важное восстановил из бэкапов, но теперь бы хотелось понять не оставил ли за собой он хвостов, и не сработает ли он сам например через недельку еще раз и т.д.

Посмотрите пожалуйста, может там еще что-то стоит очистить...
Спасибо.

 

[safety]

систему надо чистить вначале, а затем уже восстанавливать данные из копий, вполне возможно, что уже повторно все зашифровано. поскольку куча файлов шифратора в автозапуске.

скрипт надо выполнить актуальной версией uVS,
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

иначе будет ошибка выходить


выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0b10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B1BB9F64C720BBC9AD13FC8ED10A9C8A5F64EBFF37D85C3C557595D34A0A0D7CFDE7BB91C34C7D5D79F46654105684FAA2B553156A72063C574C757DD66 8 Filecoder.ED 7

zoo %SystemDrive%\USERS\RECEPTION.BVDENT\APPDATA\LOCAL\TEMP\02248653.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A60F4690848F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DFDC4212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\USERS\RECEPTION.BVDENT\APPDATA\LOCAL\TEMP\5334C6F1.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED 7

zoo %SystemDrive%\USERS\RECEPTION.BVDENT\APPDATA\LOCAL\TEMP\2A2C84F3.EXE
addsgn 9252774A0A6AC1CC0B944E4EA34FFE85168A8D1AD65748F1604E5998D0178EB312D7936EE220660F6DD3ECE23A2049ADFE1CEC213DD1773A2D2127ECC35572B4 8 Win32/Filecoder.ED 7

zoo %SystemDrive%\USERS\RECEPTION.BVDENT\APPDATA\LOCAL\TEMP\A86B5C6747183B1C9BBB4181C53F302D.DLL
addsgn 729053925465C99500D4AED1DAC88216350742F60916E02F0C2648207456B0B3DC2603070789E8B26DC6D7F736D16BFA2A5C2B7606B2FD732277F2AC04027123 64 a variant of Win32/Filecoder.ED 7

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
zoo %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска для контроля.

 

[Stolyar]

Проделал это все.... Вот новый лог...

Посмотрите пожалуйста не осталось ли сейчас хвотов....

P.S. Пока заново ничего не зашифровалось, только картинку рабочего стола почему-то сменить не можем, меняем ее, а она опять появляется, эта красная надпись что все зашифровано и смотрите файл readme и т.д.

 

[safety]

сейчас нормально, судя по новому образу. можно менять фоновый рисунок на рабочем столе.

 

[Stolyar]

Спасибо!!!

Больше никаких тестов запускать не надо? Достаточно только того что мы сделали?

 

[safety]

да, теперь можно заниматься восстановлением данных из бэкапов.