Шифровальщик под именем "626"

[paramorez]

Подловил шифровальщик,все разширения файлов поменялись на " .626 " 

 

Вот файл

CollectionLog-2018.09.29-00.22.zip

Addition.txt

FRST.txt

Изменено 28 сентября, 2018 пользователем paramorez

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (disabled)
R1 - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080 (enabled)
O2-32 - HKLM\..\BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','');
 QuarantineFile('C:\Users\user\M-505052076762740272672920\winmgr.exe','');
 QuarantineFileF('C:\Users\user\M-505052076762740272672920', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Roaming\iset\RunCC.exe','');
 QuarantineFile('C:\windows\system32\drivers\btrnzgkv.sys','');
 BC_DeleteFile('C:\Users\user\M-505052076762740272672920\winmgr.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте новые логи утилиты FRST.