Combo

[eIIIkuHkoT]

Нужна помощь в очистке ПК от шифровальщика. Автологером не могу собрать логи выдает вот такую вот ошибку на скриншоте. Пробовал запускать всякоразно и под админов в том числе.

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[eIIIkuHkoT]

Очень было бы хорошо если вы поможете выяснить каким образом шифровальщик попал на ПК

VDOVINA-PC_2018-10-22_18-58-01_v4.1.7z

[regist]

Ammy Admin - ваше? Вижу хвосты от его служб, но не вижу, чтобы он у вас был.

Java 8 Update 171 - устаревшая версия, удалите её.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   regt 27
   restart
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   bl 8C49E4CFC05D047EC3D8C6CCD488A5BC 13919
   zoo %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\INFO.HTA
   delall %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\INFO.HTA
   zoo %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
   delall %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
   apply
   
   czoo

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.


 

[eIIIkuHkoT]

Ammy Admin мой, удаленно осуществляю поддержку пользователям.

Addition.txt

FRST.txt

Изменено 22 октября, 2018 пользователем regist
удалил карантин

[regist]

Карантин прикреплять к сообщению запрещено! Читайте внимательней инструкции.

 

 

Java 8 Update 171 - устаревшая версия, удалите её.

почему не сделали?

[eIIIkuHkoT]

Нумал это не столь важно и просто на будущее было сказано. Сейчас удалю

[regist]

Удалите Java, удалите логи, затем переделайте логи как положено от имени администратора.

[eIIIkuHkoT]

удалил, залил новые логи

Addition.txt

FRST.txt

[regist]

C:\Users\vdovina.UCC\Desktop\FILES ENCRYPTED.txt и пару зашифрованных файлов прикрепите.

И у вас там похоже два разных шифратора побывало.

С Автологером что? По прежнему не удаётся собрать логи? Перед его запуском антивирус отключали?

[eIIIkuHkoT]

Шифрованные файлы сюда прикрепить?

Сейчас попробую еще раз автологером

Пароль к архиву 1

Автологер запустил, ругается чтоб скачал новую версию,  скачал по новой, все равно ругается на то чтоб Скачал новую версию

Автологер качаю вот по этой ссылке https://tools.safezone.cc/drongo/test/AutoLogger-test.zip

Автологер скачал с Оф сайта, запустил, работает, собирает логи.

Desktop.zip

[eIIIkuHkoT]

Автологер закончил работу, сказал чтоб создать логи нужно перезагрузить ПК, после перезагрузки логи не появились =(

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

INFO.HTA - это от вымогателя которым раньше (давно) пошифровались файлы?

[eIIIkuHkoT]

 

 

FO.HTA - это от вымогателя которым раньше (давно) пошифровались файлы?

 

Если честно то не помню. Пользюки уже ловили шифровальщика но именно этот ПК вроде не был затронут. 

Report.7z

[regist]

В общем по combo врядли получится рассшифровать. Но на всякий случай при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Со вторым шифратором как понимаю помощь уже не нужна.

По Автологеру попробуйте ещё раз скачать его и сделать логи.