Перейти к содержанию

Шифровальщик, разрешение файлов *.amnesia

brener
 Share

Рекомендуемые сообщения

brener Новичок

brener

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Вчера, 26.04 примерно в 16.20 начал работать шифровальщик. Создавал файлы с раcширением *.amnesia и в каждой папке - текстовый файл "HOW TO RECOVER ENCRYPTED FILES". Остановился сам в 18.28.

Сервис ID Ransomware, вроде бы, опознал его как Globe3. Но предлагаемая программа от Emsisoft ключ создать не смогла. Логи от FRST прилагаю.

 1.rar

Изменено пользователем brener
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) В hosts эти строки сами добавляли?

127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com
127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com
127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com

2) Этот ярлык вам знаком?

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\hosts.url

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на комментарий
Поделиться на другие сайты
brener Новичок

brener

Опубликовано
  • Автор
Опубликовано

Добрый день. Неожиданно дошло, что в этом компьютере миллион лет ничего не чистили, а обслуживает его уже третий системщик за 5 лет. Так что:

 

По п.1. Возможно, это какие-то настройки старых политик. В настоящее время не используются.

По п.2. Про этот ярлык ничего не известно. Ведет к файлу Teamspeakserv.exe, но он в настоящее время не существует.

По п.3. См. вложение.

DVIZHOK-SERVER_2017-05-02_11-39-13.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
BREG
regt 14
;---------command-block---------
delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\1\RARSFX1\BIN\1CV7S.EXE
delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\WIPESHADOW.EXE
delref %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\25\DWNL.EXE
delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\SYSTEM\HOST.EXE
delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\REALP\REALPLAYER.EXE.EXE
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
bl 3FF5FBEC532D64FF50F691B6B30FE0AB 68
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\30.0.1599.69\DELEGATE_EXECUTE.EXE
zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD
delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD
zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD
delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD
zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX
delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX
delref %SystemDrive%\PROGRAM FILES (X86)\ZOIPER\ZOIPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\GOOGLEUPDATEONDEMAND.EXE
delref N:\AUTORUN.EXE
delref N:\VNCVLX.EXE
apply

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.

 

 

Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска.

Изменено пользователем regist
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
brener Новичок

brener

Опубликовано
  • Автор
Опубликовано

 

Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска.

 

Я его сегодня только скачивал. Всё равно скачать и сделать свежий образ?

Ссылка на комментарий
Поделиться на другие сайты
brener Новичок

brener

Опубликовано
  • Автор
Опубликовано

Перепроверил, у вас uVS v4.0 RC1 значит свежий качать не надо, а вот новый образ всё равно надо :).

Новый образ сделать после выполнения скрипта?

Кстати. bleepingcomputer.com утверждает, что это новый шифровальщик, обращения по нему только начали поступать. Образцы взяты на исследование. Еще в пятницу этой информации у них не было. Так что, свежачок мы хапнули (((

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Новый образ сделать после выполнения скрипта?

Да. Он нужен для контроля, чтобы проверить не осталось ли вируса. Правда, больше похоже что это хвосты от старого вируса дощищаем. Ну и заодно скрипт немного мусор у вас почистит.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

+ файл

C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

пожалуйста, заархивируйте и прикрепите к сообщению.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
brener Новичок

brener

Опубликовано
  • Автор
Опубликовано (изменено)

 

Ээээ... Пишет, "имя файла не совпадает с требуемыми". И размер файл всего 2кБ. Доктор, что со мной не так?

 

ПыСы. Переименовал и отправил.

Остальные запрошенные файлы

DVIZHOK-SERVER_2017-05-02_18-12-39.7z

Secure Preferences.rar

Изменено пользователем brener
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Maximus02
      Шифровальщик. Окончание файлов .tae7AeTe
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
×
×
  • Создать...