Перейти к содержанию

Шифровальщик, разрешение файлов *.amnesia


Рекомендуемые сообщения

Здравствуйте.

Вчера, 26.04 примерно в 16.20 начал работать шифровальщик. Создавал файлы с раcширением *.amnesia и в каждой папке - текстовый файл "HOW TO RECOVER ENCRYPTED FILES". Остановился сам в 18.28.

Сервис ID Ransomware, вроде бы, опознал его как Globe3. Но предлагаемая программа от Emsisoft ключ создать не смогла. Логи от FRST прилагаю.

 1.rar

Изменено пользователем brener
Ссылка на сообщение
Поделиться на другие сайты

1) В hosts эти строки сами добавляли?

127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com
127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com
127.0.0.1 steampowered.com
127.0.0.1 support.steampowered.com
127.0.0.1 store.steampowered.com
127.0.0.1 help.steampowered.com
127.0.0.1 forums.steampowered.com
127.0.0.1 crash.steampowered.com
127.0.0.1 dota2lounge.com
127.0.0.1 csgolounge.com
127.0.0.1 virustotal.com
127.0.0.1 mail.google.com
127.0.0.1 mail.ru
127.0.0.1 ukr.net
127.0.0.1 rambler.ru
127.0.0.1 yandex.ru
127.0.0.1 web.de
127.0.0.1 o2.pl
127.0.0.1 login.live.com
127.0.0.1 yahoo.com

2) Этот ярлык вам знаком?

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\hosts.url

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Неожиданно дошло, что в этом компьютере миллион лет ничего не чистили, а обслуживает его уже третий системщик за 5 лет. Так что:

 

По п.1. Возможно, это какие-то настройки старых политик. В настоящее время не используются.

По п.2. Про этот ярлык ничего не известно. Ведет к файлу Teamspeakserv.exe, но он в настоящее время не существует.

По п.3. См. вложение.

DVIZHOK-SERVER_2017-05-02_11-39-13.7z

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0b13 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v400c
    BREG
    regt 14
    ;---------command-block---------
    delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\1\RARSFX1\BIN\1CV7S.EXE
    delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\WIPESHADOW.EXE
    delref %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\25\DWNL.EXE
    delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\SYSTEM\HOST.EXE
    delref %SystemDrive%\USERS\EVGENIA\APPDATA\ROAMING\REALP\REALPLAYER.EXE.EXE
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\VLADIMIR\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\CONSULTANT\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\SVETA.DVIZHOK-SERVER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\КОЛЯН\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\SERG\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\LENA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\CONSULTANTPLUS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
    bl 3FF5FBEC532D64FF50F691B6B30FE0AB 68
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOSTS.URL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\30.0.1599.69\DELEGATE_EXECUTE.EXE
    zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD
    delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\SYSTEM.CMD
    zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD
    delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\2\SYSTEM.CMD
    zoo %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX
    delall %SystemDrive%\USERS\EVGENIA\APPDATA\LOCAL\TEMP\273\CHROME_BITS_4768_26119\3.3.0.1_WIN32_SWIFTSHADER.CRX
    delref %SystemDrive%\PROGRAM FILES (X86)\ZOIPER\ZOIPER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\GOOGLEUPDATEONDEMAND.EXE
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\GOOGLEUPDATEONDEMAND.EXE
    delref N:\AUTORUN.EXE
    delref N:\VNCVLX.EXE
    apply
    
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.

 

 

Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска.

Изменено пользователем regist
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

 

Скачайте свежую версию uVS (ха эти дни он успел обновиться) и сделайте свежий образ автозапуска.

 

Я его сегодня только скачивал. Всё равно скачать и сделать свежий образ?

Ссылка на сообщение
Поделиться на другие сайты

Перепроверил, у вас uVS v4.0 RC1 значит свежий качать не надо, а вот новый образ всё равно надо :).

Новый образ сделать после выполнения скрипта?

Кстати. bleepingcomputer.com утверждает, что это новый шифровальщик, обращения по нему только начали поступать. Образцы взяты на исследование. Еще в пятницу этой информации у них не было. Так что, свежачок мы хапнули (((

Ссылка на сообщение
Поделиться на другие сайты

Новый образ сделать после выполнения скрипта?

Да. Он нужен для контроля, чтобы проверить не осталось ли вируса. Правда, больше похоже что это хвосты от старого вируса дощищаем. Ну и заодно скрипт немного мусор у вас почистит.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

+ файл

C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

пожалуйста, заархивируйте и прикрепите к сообщению.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

 

Ээээ... Пишет, "имя файла не совпадает с требуемыми". И размер файл всего 2кБ. Доктор, что со мной не так?

 

ПыСы. Переименовал и отправил.

Остальные запрошенные файлы

DVIZHOK-SERVER_2017-05-02_18-12-39.7z

Secure Preferences.rar

Изменено пользователем brener
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...