Перейти к содержанию

thyrex

Модераторы
  • Публикаций

    15 348
  • Points

  • Зарегистрирован

  • Победитель дней

    67

thyrex стал победителем дня 14 мая

thyrex имел наиболее популярный контент!

Репутация

1 145

Информация о thyrex

  • Other groups Консультанты
  • Статус
    Абориген

Информация

  • Пол
    Мужчина
  • Город
    Солигорск, Беларусь

Посетители профиля

8 645 просмотров профиля
  1. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
  2. Расшифровки последних вариантов Scarab нет
  3. Если Вы про первую строку, так это драйвер AVZ
  4. Это означает, что я всего лишь воспользовался сервисом https://id-ransomware.malwarehunterteam.com/
  5. 1. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {6EF40137-52D7-4D2A-B90C-78EBE3218E5F} - System32\Tasks\syslog => C:\Users\Администратор\AppData\Local\syslog\syslog.exe <==== ATTENTION Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} - No File S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION C:\Users\Администратор\AppData\Roaming\curl AlternateDataStreams: C:\Users\Администратор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  6. Возможно очередной вариант DCRTR-WDM Ransomware. Расшифровки последних вариантов не было.
  7. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  8. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe',''); DeleteSchedulerTask('curl'); DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe','64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','64'); DeleteSchedulerTask('curls'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  9. Я не прикалываюсь. Это Вы не сумели понять, что выданный скрипт лечения нужно выполнить в безопасном режиме, раз уж все работает только в нём. А уже повторные логи нужно выполнять в обычном, потому что блокировки уже быть не должно.
  10. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe',''); QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe',''); QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe',''); QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe',''); DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64'); DeleteFile('C:\Programdata\WindowsTask\winlogon.exe','64'); DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger в обычном, а не безопасном, режиме загрузки; прикрепите к следующему сообщению НОВЫЕ логи.
  11. Только в случае слива ключей самими злодеями.
  12. Увы, расшифровки нет ни в одной антивирусной компании. Восстанавливайте все с бэкапов.
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.