Перейти к содержанию
Правила раздела

HELP!

Руслан Сабреков

От Руслан Сабреков
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Common Files\95244DE4-BB1D-4C3A-B5AE-76CC1A2892A3\6BF2E476-F029-4E37-A110-7581136CF501.exe','');
 QuarantineFileF('c:\users\евгений\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\евгений\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Евгений\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Microsoft\408312860927C74B7ABCBF44C1C64E2F\59F2C83E7330F1BCA84B41FAF3C8DB4D.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Hostinstaller\2049702709_monster.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\95244DE4-BB1D-4C3A-B5AE-76CC1A2892A3\6BF2E476-F029-4E37-A110-7581136CF501.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Microsoft\408312860927C74B7ABCBF44C1C64E2F\59F2C83E7330F1BCA84B41FAF3C8DB4D.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Hostinstaller\2049702709_monster.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\C8DB4D3FAF14B48ACB1F0337E359F2C8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\C8DB4D3FAF14B48ACB1F0337E359F2C8SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\C8DB4D3FAF14B48ACB1F0337E359F2C8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\C8DB4D3FAF14B48ACB1F0337E359F2C8SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\users\евгений\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\евгений\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\евгений\appdata\local\fupdate');
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\users\евгений\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C8DB4D3FAF14B48ACB1F0337E359F2C8SB');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
    • Политики IE
    • Политики Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare Ultimate 9

Driver Booster 3.4

IObit Malware Fighter 4

IObit Uninstaller

Smart Defrag 5

Surfing Protection

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (News Tab) - C:\Users\Евгений\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-20]
CHR Extension: (Boyfire) - C:\Users\Евгений\AppData\Local\Google\Chrome\User Data\Default\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-08-20]
OPR Extension: (News Tab) - C:\Users\Евгений\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-08-20]
OPR Extension: (Boyfire) - C:\Users\Евгений\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-08-20]
2016-09-20 18:13 - 2016-09-20 18:13 - 03148854 _____ C:\Users\Евгений\AppData\Roaming\42FBA66842FBA668.bmp
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README9.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README8.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README7.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README6.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README5.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README4.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README3.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README2.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README10.txt
2016-09-20 18:13 - 2016-09-20 18:13 - 00004170 _____ C:\Users\Евгений\Desktop\README1.txt
2016-09-20 15:12 - 2016-09-20 20:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-20 19:46 - 2016-07-19 19:52 - 00000266 _____ C:\WINDOWS\Tasks\ASCU9_SkipUac_Евгений.job
2016-09-20 19:18 - 2016-06-10 22:10 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\Thunderbird
2016-09-20 18:34 - 2016-08-21 15:57 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\IObit
2016-09-20 18:34 - 2016-06-19 22:59 - 00000000 ____D C:\Users\Евгений\AppData\LocalLow\IObit
2016-09-20 18:34 - 2016-06-19 22:59 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-09-20 18:05 - 2016-06-19 23:00 - 00000000 ____D C:\Users\Евгений\AppData\Roaming\ProductData
2016-09-19 09:26 - 2016-08-21 15:58 - 00002323 _____ C:\Users\Public\Desktop\Advanced SystemCare Ultimate 9.lnk
Task: {2EC95E32-ADB2-4AB6-9023-C367263DE388} - System32\Tasks\SmartDefrag_Startup => C:\Program Files (x86)\IObit\Smart Defrag\SmartDefrag.exe
Task: {360D01C0-26E6-4F1D-9D64-359283EA8B3D} - System32\Tasks\Driver Booster SkipUAC (Евгений) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {B7316464-B180-4918-A4B5-FBD9BDE70EA5} - System32\Tasks\Uninstaller_SkipUac_Евгений => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2016-05-12] (IObit)
Task: {C36D622C-BF51-4511-9BFC-1A4B7CA58D58} - System32\Tasks\SmartDefrag_AutoAnalyze => C:\Program Files (x86)\IObit\Smart Defrag\AutoDefrag.exe
Task: {C48CAFFC-ED66-4C54-AAB1-8A3AE22C3CF0} - System32\Tasks\ASCU9_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\Monitor.exe
Task: {D7D31EA6-7E5B-4E6A-869C-002AA1815610} - System32\Tasks\MailRuUpdater => C:\Users\Евгений\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {DA71A0CD-B952-4DF2-BC97-F21EF0D67B7E} - System32\Tasks\SmartDefrag_Update => C:\Program Files (x86)\IObit\Smart Defrag\AutoUpdate.exe
Task: {DAF17B1B-D168-41A1-A720-8AEB4527BFA8} - System32\Tasks\ASCU9_SkipUac_Евгений => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe [2016-07-15] (IObit)
Task: {F45F97E4-C4E3-40EB-B8FF-6A4585587533} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
Task: C:\WINDOWS\Tasks\ASCU9_SkipUac_Евгений.job => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Евгений.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Hosts:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • il1dar
      Help! Поймал вирус aes шифрование/
      От il1dar
      Добрый день!
      Прошу помочь с расшифровкой файлов. Поймал вирус на сервере, сменили пароль пользователя для входа (в систему попал). В системе зашифрованы офисные файлы и базы 1С. 
      Addition.txt FRST.txt readme.txt aes.rar
    • Gennadiy89
      Зашифрованы файлы расширение "MZEM8GTPE" почта help@room155.online или room155@tuta.io
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • SorZol
      Need help with decrypting MedusaLocker (I have private/public keys in base64 format)
      От SorZol
      I am writing to you today regarding a recent MedusaLocker attack on my personal computer on December [date] 2023.

      Unfortunately, the attack resulted in the encryption of a significant number of my files.
      However, during the incident, an unusual turn of events occurred. My laptop froze midway through the encryption process, causing the attacker to leave some files behind. Among these files, I was able to identify and run the encryption executable (within a controlled virtual machine environment, of course). This allowed me to extract the public key associated with the attack.

      Furthermore, through an additional, unexpected development, I also managed to obtain the corresponding private key. While this presents a potential opportunity for decryption, there exists a hurdle: both the public and private keys are encoded in Base64 format, rather than the standard XML format with Exponent and Modulus components.

      Recognizing the expertise and capabilities of your team in the field of ransomware decryption, I am reaching out with a proposal for collaboration. I am eager to share my unique experience and the acquired keys with your experts in the hope of finding a way to decrypt my files and potentially aid others affected by the same attacker or public key.

      I understand the inherent challenges and complexities involved in this endeavor. However, I believe that combining my firsthand experience with your technical know-how could lead to a breakthrough. I am open to discussing various collaboration models that would mutually benefit both parties.
      Thank you for considering my request. I am available at your convenience to discuss this further and provide any additional information you may require.
    • denis12345
      Help me! BlackBit!
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • ОСЭП
      Зашифровали файлы на рабочем ПК, емайлы вымогателей help@room155.online и room155@tuta.io. Расширение файлов изменилось на CyiHMxBuf
      От ОСЭП
      Добрый день.
      Рабочий ПК подвергся атаке шифровальщика. ОС загружается, есть возможность выполнять навигацию по папкам. Рабочие файлы в папках изменили свое расширение с привычных docx, xlcx, pdf на CyiHMxBuf.
      Так получилось что Касперский был выключен мной пару недель назад (настраивал доступ к специфичным гос сайтам), так и забыл его включить, в это время вирус видимо и попапал с очередной влэшки, которые приносят по работе с других организаций. Учетная запись пользователя с правами локального администратора.
      Логи и шифрованные файлы с письмом вымогателей прикрепляю.
       
      Addition.txt FRST.txt virus.7z
×
×
  • Создать...