|
||||||||
| Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
 |
|
|
Опции темы | Опции просмотра |
|
||||||||
| Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
|
|
Опции темы | Опции просмотра |
08.06.2017, 01:40
|
#1 (permalink) |
|
Member
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
WANA DECRYPTOR. Как удалить?
|
|
|
|
08.06.2017, 01:40
|
|
|
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Некоторые темы по содержанию очень напоминают вашу тему Хочу удалить Alpari Limited MT4 с демо счетом. Как удалить эту программу? В емейле MAIL.RU ставлю галки напротив писем удалить, жму Удалить, не удаляет. Как удалить удалить стартовую страницу smaxxi.biz |
|
08.06.2017, 06:23
|
#2 (permalink) | |
|
Member
Регистрация: 31.08.2015
Сообщений: 19,424
Сказал(а) спасибо: 283
Поблагодарили 213 раз(а) в 96 сообщениях
Репутация: 80829
|
Забавная вещица
 Почитал про неё на хабре. Ну и Цитата:
|
|
|
|
|
|
08.06.2017, 06:56
|
#3 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Все зависит от того какая у вас система, и перегружали ли вы систему после атаки WnCry. Для XP, Win7 есть возможность восстановить ключ шифрования и соответственно, расшифровать файлы, если не было перезагрузки системы, и не убиты процессы шифратора.
--------- если необходимо только очистить систему, то нужен образ автозапуска системы. |
|
|
|
|
09.06.2017, 22:08
|
#4 (permalink) | |
|
Member
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Цитата:
|
|
|
|
|
|
10.06.2017, 02:34
|
#5 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
если системы была перегружена, то ключ (и соответственно зашифрованные файлы) уже не восстановить.
образ сейчас гляну. следов шифратора уже нет. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
apply
deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\FREEMAKE VIDEO CONVERTER\FREEMAKE VIDEO CONVERTER\BROWSERPLUGIN\FIREFOX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\59849229.SYS
delref %Sys32%\DRIVERS\76450080.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref E:\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PDFMASTER\PDFWRITER.EXE
delref Y:\БИЛЬЯРД-ХАУС\POOL_HOUSE.EXE
delref Y:\ALAWAR.URL
;-------------------------------------------------------------
restart
---------- |
|
|
|
| Ads | |
|
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|
10.06.2017, 05:47
|
#6 (permalink) | ||
|
Member
Регистрация: 31.08.2015
Сообщений: 19,424
Сказал(а) спасибо: 283
Поблагодарили 213 раз(а) в 96 сообщениях
Репутация: 80829
|
Цитата:
Цитата:
|
||
|
|
|
|
10.06.2017, 08:06
|
#7 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
большинство шифраторов удаляют точки восстановления (теневые копии, если была включена защита диска)поэтому ShadowExplorer в данном случае ничего не найдет. (исключение здесь может быть если юзер работает под ограниченной учетной записью.) Восстановить из удаленных оригиналы файлов так же с большой вероятностью не получится, потому как вначале создается шифрованная копия файла, затем она перемещается на место оригинала с его перезаписью, потом меняется расширение уже шифрованного файла.
|
|
|
|
|
10.06.2017, 09:58
|
#8 (permalink) | |
|
Member
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Цитата:
Получается, что мой Comodo Firewall прое*ал эту атаку?.. Я понял, что нахлобучились все фото, видео, аудио и книжные файлы. Вроде файлы установщиков игр и программ не тронуты. Если лечению ничего не поддаётся, может отформатировать диски? Или сразу новую винду? Что и как лучше? |
|
|
|
|
|
10.06.2017, 12:18
|
#9 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
что делать
https://habrahabr.ru/company/cisco/blog/328598/ надо ставить патч MS-2017-010 иначе опять система будет атакована, даже если вы ее переустановите. |
|
|
|
|
10.06.2017, 13:03
|
#10 (permalink) |
|
Member
Регистрация: 11.06.2010
Сообщений: 171
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
safety, про патч я в курсе.
Всё равно заставка не удаляется.. Винда получается не тронута и после установки патча нужно удалить все зашифрованные файлы и отформатировать диски. Такой выход? |
|
|
|
| Ads | |
|
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|
| Опции темы | |
| Опции просмотра | |
|
|
Линейный вид
