файлы зашифрованы,расширение .pumas

[GnuS87 0]

Здравствуйте!

Обновилась WiNDOWS 10,после перезагрузки зашифровались файлы.Теперь они имеют расширение.pumas .

Прикрепил к сообщению  CollectionLog. и сообщение.

 

CollectionLog-2018.12.16-14.22.zip

!readme.txt

[thyrex 1 412]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Тоха\AppData\Roaming\freetools\guids.exe','');
 DelBHO('{D401A51B-6BF6-4F86-8D38-CE451BF05A1D}');
 QuarantineFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll','');
 QuarantineFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe','');
 QuarantineFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe','');
 QuarantineFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe','');
 QuarantineFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe','');
 DeleteFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x32');
 DeleteFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe','32');
 DeleteFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe','32');
 DeleteFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x64');
 DeleteFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll','32');
 DeleteSchedulerTask('Microsoft\Windows\Task Manager\Guids');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[GnuS87 0]

Здравствуйте.

Всё сделал,как Вы писали.

 

 

 

Результат загрузки

Файл сохранён как 181216_211404_quarantine_5c16c01c8805f.zip

Размер файла 282001

MD5 c37313e6d522f41e32d50a6cc2a32ec0

Файл закачан, спасибо!

ClearLNK-2018.12.17_09.25.28.log

CollectionLog-2018.12.17-09.36.zip

Изменено 16 декабря, 2018 пользователем GnuS87

[thyrex 1 412]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[GnuS87 0]

Выполнил

Addition.zip

[thyrex 1 412]

FastDataX 1.20

YoutubeAdBlock

удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Tcpip\Parameters: [NameServer] 82.163.142.9 95.211.158.137
Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [NameServer] 82.163.142.9 95.211.158.137
Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [DhcpNameServer] 82.163.142.9
Tcpip\..\Interfaces\{4db0fa42-5030-4cc0-badc-0ccf402a04e1}: [NameServer] 82.163.142.9 95.211.158.137
Tcpip\..\Interfaces\{4ea99e0d-c5ea-4039-8fb5-850c025212d6}: [NameServer] 82.163.142.9 95.211.158.137
Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [NameServer] 82.163.142.9 95.211.158.137
Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [DhcpNameServer] 82.163.142.9
C:\Users\Тоха\AppData\Local\Google\Chrome\User Data\Default\Extensions\ijjgggkbpddjfaoiiiaidapcccbbphpn
OPR Extension: (Adblocker for Youtube™) - C:\Users\Тоха\AppData\Roaming\Opera Software\Opera Stable\Extensions\egmfaijlgimjnjgblmkhfpalbfkeocii [2018-10-14]
HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "aftisdgr.lnk"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "GatewayLayer 1.3957.lnk"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "6072874"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "7N5ULORXILJ6EXH"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SchedTaskSetup"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "3617857"
HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SysHelper"
FirewallRules: [{58C29810-7AFC-47FF-B1E0-480729B8CD2A}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe
FirewallRules: [{3C5C0212-9CBF-47B3-B46F-CEEFC20821C1}] => (Allow) C:\Users\Тоха\AppData\Local\Temp\ZaxarSetup.4.001.1690.exe\zaxarloader.exe
C:\Program Files (x86)\Zaxar
C:\Users\Тоха\AppData\Roaming\freetools\guids.exe
C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe
File: C:\Users\Тоха\AppData\Local\script.ps1
Folder: C:\Users\Тоха\AppData\Local\Temp\PmIgYzA
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[GnuS87 0]

Здравствуйте.

Код применил.

А вот удалить FastDataX 1.20  и  YoutubeAdBlock  не смог.(Не удаётся найти путь к файлу)

 

 

Fixlog_18-12-2018 09.31.27.txt

[thyrex 1 412]

Тогда попробуйте зачистить их упоминания вручную в редакторе реестра.

 

Поищите пару - шифрованный файл и его незашифрованная копия - размером не менее 150 кбайт и прикрепите в архиве к следующему сообщению.

[GnuS87 0]

Пара файлов.

Аналоги.zip

[thyrex 1 412]

Проверьте ЛС

[GnuS87 0]

Спасибо.Всё получилось.