eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Нужна помощь в очистке ПК от шифровальщика. Автологером не могу собрать логи выдает вот такую вот ошибку на скриншоте. Пробовал запускать всякоразно и под админов в том числе. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 Очень было бы хорошо если вы поможете выяснить каким образом шифровальщик попал на ПК VDOVINA-PC_2018-10-22_18-58-01_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Ammy Admin - ваше? Вижу хвосты от его служб, но не вижу, чтобы он у вас был. Java 8 Update 171 - устаревшая версия, удалите её. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG regt 27 restart ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL bl 8C49E4CFC05D047EC3D8C6CCD488A5BC 13919 zoo %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\INFO.HTA delall %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\INFO.HTA zoo %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\VDOVINA.UCC\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA apply czoo В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 (изменено) Ammy Admin мой, удаленно осуществляю поддержку пользователям. Addition.txt FRST.txt Изменено 22 октября, 2018 пользователем regist удалил карантин Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Карантин прикреплять к сообщению запрещено! Читайте внимательней инструкции. Java 8 Update 171 - устаревшая версия, удалите её. почему не сделали? Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 Нумал это не столь важно и просто на будущее было сказано. Сейчас удалю Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Удалите Java, удалите логи, затем переделайте логи как положено от имени администратора. Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 удалил, залил новые логи Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 C:\Users\vdovina.UCC\Desktop\FILES ENCRYPTED.txt и пару зашифрованных файлов прикрепите. И у вас там похоже два разных шифратора побывало. С Автологером что? По прежнему не удаётся собрать логи? Перед его запуском антивирус отключали? Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 Шифрованные файлы сюда прикрепить? Сейчас попробую еще раз автологером Пароль к архиву 1 Автологер запустил, ругается чтоб скачал новую версию, скачал по новой, все равно ругается на то чтоб Скачал новую версию Автологер качаю вот по этой ссылке https://tools.safezone.cc/drongo/test/AutoLogger-test.zip Автологер скачал с Оф сайта, запустил, работает, собирает логи. Desktop.zip Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 22 октября, 2018 Автор Share Опубликовано 22 октября, 2018 Автологер закончил работу, сказал чтоб создать логи нужно перезагрузить ПК, после перезагрузки логи не появились =( Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2018 Share Опубликовано 22 октября, 2018 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. INFO.HTA - это от вымогателя которым раньше (давно) пошифровались файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
eIIIkuHkoT 0 Опубликовано 23 октября, 2018 Автор Share Опубликовано 23 октября, 2018 FO.HTA - это от вымогателя которым раньше (давно) пошифровались файлы? Если честно то не помню. Пользюки уже ловили шифровальщика но именно этот ПК вроде не был затронут. Report.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 октября, 2018 Share Опубликовано 23 октября, 2018 В общем по combo врядли получится рассшифровать. Но на всякий случай при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.Со вторым шифратором как понимаю помощь уже не нужна. По Автологеру попробуйте ещё раз скачать его и сделать логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.