brener Опубликовано 27 апреля, 2017 Share Опубликовано 27 апреля, 2017 (изменено) Здравствуйте. Вчера, 26.04 примерно в 16.20 начал работать шифровальщик. Создавал файлы с раcширением *.amnesia и в каждой папке - текстовый файл "HOW TO RECOVER ENCRYPTED FILES". Остановился сам в 18.28. Сервис ID Ransomware, вроде бы, опознал его как Globe3. Но предлагаемая программа от Emsisoft ключ создать не смогла. Логи от FRST прилагаю. 1.rar Изменено 27 апреля, 2017 пользователем brener Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 апреля, 2017 Share Опубликовано 27 апреля, 2017 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 28 апреля, 2017 Автор Share Опубликовано 28 апреля, 2017 Прошу прощения за долгое ожидание. CollectionLog-2017.04.28-15.21.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 апреля, 2017 Share Опубликовано 28 апреля, 2017 Логи сделаны в терминальной сессии, сделайте их из консоли. Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 28 апреля, 2017 Автор Share Опубликовано 28 апреля, 2017 так? CollectionLog-2017.04.28-18.31.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 28 апреля, 2017 Share Опубликовано 28 апреля, 2017 1) В hosts эти строки сами добавляли? 127.0.0.1 steampowered.com 127.0.0.1 support.steampowered.com 127.0.0.1 store.steampowered.com 127.0.0.1 help.steampowered.com 127.0.0.1 forums.steampowered.com 127.0.0.1 crash.steampowered.com 127.0.0.1 dota2lounge.com 127.0.0.1 csgolounge.com 127.0.0.1 virustotal.com 127.0.0.1 mail.google.com 127.0.0.1 mail.ru 127.0.0.1 ukr.net 127.0.0.1 rambler.ru 127.0.0.1 yandex.ru 127.0.0.1 web.de 127.0.0.1 o2.pl 127.0.0.1 login.live.com 127.0.0.1 yahoo.com 127.0.0.1 steampowered.com 127.0.0.1 support.steampowered.com 127.0.0.1 store.steampowered.com 127.0.0.1 help.steampowered.com 127.0.0.1 forums.steampowered.com 127.0.0.1 crash.steampowered.com 127.0.0.1 dota2lounge.com 127.0.0.1 csgolounge.com 127.0.0.1 virustotal.com 127.0.0.1 mail.google.com 127.0.0.1 mail.ru 127.0.0.1 ukr.net 127.0.0.1 rambler.ru 127.0.0.1 yandex.ru 127.0.0.1 web.de 127.0.0.1 o2.pl 127.0.0.1 login.live.com 127.0.0.1 yahoo.com 127.0.0.1 steampowered.com 127.0.0.1 support.steampowered.com 127.0.0.1 store.steampowered.com 127.0.0.1 help.steampowered.com 127.0.0.1 forums.steampowered.com 127.0.0.1 crash.steampowered.com 127.0.0.1 dota2lounge.com 127.0.0.1 csgolounge.com 127.0.0.1 virustotal.com 127.0.0.1 mail.google.com 127.0.0.1 mail.ru 127.0.0.1 ukr.net 127.0.0.1 rambler.ru 127.0.0.1 yandex.ru 127.0.0.1 web.de 127.0.0.1 o2.pl 127.0.0.1 login.live.com 127.0.0.1 yahoo.com 2) Этот ярлык вам знаком? C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\hosts.url 3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 2 мая, 2017 Автор Share Опубликовано 2 мая, 2017 Добрый день. Неожиданно дошло, что в этом компьютере миллион лет ничего не чистили, а обслуживает его уже третий системщик за 5 лет. Так что: По п.1. Возможно, это какие-то настройки старых политик. В настоящее время не используются. По п.2. Про этот ярлык ничего не известно. Ведет к файлу Teamspeakserv.exe, но он в настоящее время не существует. По п.3. См. вложение. DVIZHOK-SERVER_2017-05-02_11-39-13.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 2 мая, 2017 Share Опубликовано 2 мая, 2017 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0b13 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v400c BREG regt 14 ;---------command-block--------- delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\1\RARSFX1\BIN\1CV7S.EXE delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\WIPESHADOW.EXE delref %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\25\DWNL.EXE delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\SYSTEM\HOST.EXE delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\REALP\REALPLAYER.EXE.EXE delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL bl 3FF5FBEC532D64FF50F691B6B30FE0AB 68 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\30.0.1599.69\DELEGATE_EXECUTE.EXE zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX delref %SystemDrive%\PROGRAM FILES (X86)\ZOIPER\ZOIPER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\GOOGLEUPDATEONDEMAND.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\GOOGLEUPDATEONDEMAND.EXE delref N:\AUTORUN.EXE delref N:\VNCVLX.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска. Изменено 2 мая, 2017 пользователем regist 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 2 мая, 2017 Автор Share Опубликовано 2 мая, 2017 Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска. Я его сегодня только скачивал. Всё равно скачать и сделать свежий образ? Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 2 мая, 2017 Share Опубликовано 2 мая, 2017 Перепроверил, у вас uVS v4.0 RC1 значит свежий качать не надо, а вот новый образ всё равно надо . Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 2 мая, 2017 Автор Share Опубликовано 2 мая, 2017 Перепроверил, у вас uVS v4.0 RC1 значит свежий качать не надо, а вот новый образ всё равно надо . Новый образ сделать после выполнения скрипта? Кстати. bleepingcomputer.com утверждает, что это новый шифровальщик, обращения по нему только начали поступать. Образцы взяты на исследование. Еще в пятницу этой информации у них не было. Так что, свежачок мы хапнули ((( Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 2 мая, 2017 Share Опубликовано 2 мая, 2017 (изменено) Новый образ сделать после выполнения скрипта? Да. Он нужен для контроля, чтобы проверить не осталось ли вируса. Правда, больше похоже что это хвосты от старого вируса дощищаем. Ну и заодно скрипт немного мусор у вас почистит. Изменено 2 мая, 2017 пользователем regist Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 2 мая, 2017 Share Опубликовано 2 мая, 2017 (изменено) + файл C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences пожалуйста, заархивируйте и прикрепите к сообщению. Изменено 2 мая, 2017 пользователем regist Ссылка на комментарий Поделиться на другие сайты More sharing options...
brener Опубликовано 2 мая, 2017 Автор Share Опубликовано 2 мая, 2017 (изменено) Полученный архив отправьте с помощью этой формы Ээээ... Пишет, "имя файла не совпадает с требуемыми". И размер файл всего 2кБ. Доктор, что со мной не так? ПыСы. Переименовал и отправил. Остальные запрошенные файлы DVIZHOK-SERVER_2017-05-02_18-12-39.7z Secure Preferences.rar Изменено 2 мая, 2017 пользователем brener Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 мая, 2017 Share Опубликовано 6 мая, 2017 Для расшифровки воспользуйтесь https://decrypter.emsisoft.com/amnesia(нужен зашифрованный файл и его незашифрованная копия) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения