Шифровальщик, расшифровка файлов

[iceberg31]

Доброго времени суток!

На сервере были зашифрованы базы данных SQL и другие файлы, с добавлением расширения .wncry. В каждой папке письмо с содержанием:

 

WannaCry             Добрый день.

Ваши файлы, документы, фото, базы данных и все остальное НЕ УДАЛЕНЫ.
Они зашифрованы WannaCry самым надежным шифрованием.
Восстановить файлы НЕВОЗМОЖНО без нашей помощи.
Будете  пытаться  восстановить  файлы  самостоятельно- потеряете файлы
НАВСЕГДА.

----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail: helper@bitmessage.ch
 * сообщите Ваш ID и мы выключим произвольное удаление файлов
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)

 * высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию куда и сколько нужно заплатить.

2. оплачиваете и подтверждаете оплату.

3. после оплаты получаете программу ДЕШИФРАТОР. которой восстанавливаете ВСЕ ВАШИ ФАЙЛЫ.
----------------------------------------------------------

У Вас есть 72 часа на оплату.

Если не успеете за 72 часа оплатить, то цена расшифровки увеличивается в 2 раза.
Цена увеличивается в 2 раза каждые 72 часа.

Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 72 часов.
За подробными инструкциями обращайтесь e-mail: helper@bitmessage.ch

 * Если не будете терять время на попытки расшифровать, то сможете восстановить все файлы за час.
 * Если будете пытаться сами расшифровать- можете потерять Ваши файлы НАВСЕГДА.
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования


------------------ P.S. ---------------------------------
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH с указанием Вашей почты и
личного идентификатора и мы с Вами сами свяжемся.

Если у Вас нет биткойнов
оплата будет в bitcoin

приобрести вы их можете тут.  bestchange.ru
---------------------------------------------------------


Ваш Идентификатор:
4148509097088817305129024455614600164478974242728690124158459108982982553637343739075886943583749258
4049705261753889586382393096880770818177816970224589186933848149034182152236766590348566717118327381
8760746582246169398992689161586846584830636821438838351599893162982818995901275768539114367949909592
7118905841408241925520831429762353368384431899937467300595300196683081688493656999302387189681738436
3484134017684838541737142187070452030427630396153979593875757912462660908916162932674857081312975584
6568806245350998508425472206515117277659760504181472459696168128253685983967219580601622061057505772
791500730763078341

=========================================================

CollectionLog-2017.09.04-18.11.zip

Инструкция по восстановлению данных.TXT

Изменено 4 сентября, 2017 пользователем iceberg31

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 StopService('wcvvses');
 StopService('wscsvs');
 QuarantineFile('C:\delfolder.bat', '');
 QuarantineFile('C:\ProgramData\Windows\svchost.bat', '');
 QuarantineFile('C:\ProgramData\Windows\svchost.VBS', '');
 QuarantineFile('C:\Users\krutko\Desktop\shutdown-r.cmd', '');
 QuarantineFile('C:\Users\operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk', '');
 QuarantineFile('C:\Users\osipchuk\AppData\Roaming\WS\svchost.vbs', '');
 QuarantineFile('c:\Windows\Fonts\csrss.exe', '');
 QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\System\explorer.exe', '');
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Windows\svchost.bat');
 DeleteFile('C:\ProgramData\Windows\svchost.VBS');
 DeleteFile('C:\Users\operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk');
 DeleteFile('C:\Users\osipchuk\AppData\Roaming\WS\svchost.vbs', '32');
 DeleteFile('c:\Windows\Fonts\csrss.exe', '32');
 DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\System\explorer.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTask" /F', 0, 15000, true);
 DeleteService('ServiceMains');
 DeleteService('wcvvses');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip\', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'run');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'svchost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

у вас тут и без щифровальщика заразы полно. Рассшифровкой в конце лечениям попробуем заняться.

[iceberg31]

Новый вирус [KLAN-6758312635]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"


ссылка после загрузки карантина - https://virusinfo.info/virusdetector/report.php?md5=D434BAE336459897FE869EA62AA2A47D

 

 

За ранее спасибо!!!

CollectionLog-2017.09.04-23.28.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\program files (x86)\atol\fdservice\fdsvc.exe', '');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('C:\Program Files\Common Files\Microsoft Shared\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Перезагрузите компьютер вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

+

 

Проверьте этот файл на virustotal

c:\program files (x86)\atol\fdservice\fdsvc.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

[iceberg31]

Новый вирус [KLAN-6758694949]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
fdsvc.exe

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
settings.exe - not-a-virus:RiskTool.MSIL.Sidaweb.j

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

 

результат проверки файла fdsvc.exe - https://www.virustotal.com/ru/file/8e97e7412671b0c3d55ca217896b90ed4b1125524e917a5735839bbb31ff3416/analysis/1504564439/

 

 

Спасибо...

CollectionLog-2017.09.05-01.51.zip

[regist]

 

 

результат проверки файла fdsvc.exe - https://www.virustot...sis/1504564439/

Знакома вам эта программа?

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[iceberg31]

fdsvc.exe - это программа, через которую работают у нас все кассовые аппараты, продукт принадлежит компании АТОЛ http://fiscal.atol.ru/

SRVSQL_2017-09-05_10-04-53.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.2
  v400c
  BREG
  ;---------command-block---------
  zoo %SystemRoot%\FONTS\ANQN.EXE
  delall %SystemRoot%\FONTS\ANQN.EXE
  zoo %SystemDrive%\USERS\REMOTE\APPDATA\ROAMING\GUIDE.EXE
  delall %SystemDrive%\USERS\REMOTE\APPDATA\ROAMING\GUIDE.EXE
  apply
  
  czoo
  restart
  
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

Поищите пару файлов зашифрованный и незашифрованный.

[iceberg31]

Первые 5 пунктов выполнить в данный момент не можем, т.к. сервер перегружать до 22:30 MSK нельзя (работают кассовые аппараты). Остальные пункты выполнили, отчёты и образцы файлов прилагаем.

 

Спасибо...

Примеры файлов.7z

Отчёты.7z

[regist]

1)

C:\Users\osipchuk\Desktop\SETTINGS.EXE

Этот файл вам знаком?

 

2)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-1237637076-2234111549-4185182001-1208\...\Run: [{7D73A098-9D3E-4300-FD76-16E17F88C5D9}] => C:\Users\remote\Инструкция по восстановлению данных.TXT [6340 2017-09-03] ()
  HKU\S-1-5-21-1237637076-2234111549-4185182001-1208\...\RunOnce: [{7D73A098-9D3E-4300-FD76-16E17F88C5D9}] => C:\Users\remote\AppData\Roaming\guide.exe
  IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\anqn.exe
  S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
  S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
  S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
  S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
  2017-09-03 02:56 - 2017-09-03 02:56 - 000006340 _____ C:\Users\remote\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\Администратор\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\sysoev\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\sysoev\Desktop\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\SQL Server Distributed Replay Controller\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\SQL Server Distributed Replay Client\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\soft\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\soft\Desktop\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\operator\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\operator\Desktop\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\onuchin\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\onuchin\Desktop\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$SQLEXPRESS\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$MSSQL\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\MSSQL$MICROSOFT##WID\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\krutko\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\krutko\Desktop\Инструкция по восстановлению данных.TXT
  2017-09-03 02:20 - 2017-09-03 02:20 - 000006340 _____ C:\Users\Default\Инструкция по восстановлению данных.TXT
  2017-09-03 02:00 - 2017-09-03 02:56 - 000006340 _____ C:\Users\remote\Desktop\Инструкция по восстановлению данных.TXT
  EmptyTemp:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагрузите вручную.

 

Изменено 5 сентября, 2017 пользователем regist

[iceberg31]

А можно данную процедуру выполнить без перезагрузки компьютера, т.к. как писал ранее, сейчас нет возможности перезагрузить сервер?

 

C:\Users\osipchuk\Desktop\SETTINGS.EXE - это программа для управления автозагрузкой, удалили данный файл

Изменено 5 сентября, 2017 пользователем iceberg31

[regist]

 

 

как писал ранее, сейчас нет возможности перезагрузить сервер?

Выполните попозже .

Инструкцию по рассшифровке потом получите в ЛС.

[iceberg31]

Реально можно будет восстановить файлы? Смогу перезагрузить только после 22:30 MSK, Вы сможете оказать помощь в столь поздний час?

[iceberg31]

Прикрепляю лог-файл после выполнения скрипта

Fixlog.txt

[regist]

Инструкцию отправил в ЛС.

 

папку C:\FRST удалите.

 

Создайте точку восстановления.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.