GnuS87 Опубликовано 16 декабря, 2018 Опубликовано 16 декабря, 2018 Здравствуйте! Обновилась WiNDOWS 10,после перезагрузки зашифровались файлы.Теперь они имеют расширение.pumas . Прикрепил к сообщению CollectionLog. и сообщение. CollectionLog-2018.12.16-14.22.zip !readme.txt
thyrex Опубликовано 16 декабря, 2018 Опубликовано 16 декабря, 2018 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Тоха\AppData\Roaming\freetools\guids.exe',''); DelBHO('{D401A51B-6BF6-4F86-8D38-CE451BF05A1D}'); QuarantineFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe',''); DeleteFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe','32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe','32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x64'); DeleteFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll','32'); DeleteSchedulerTask('Microsoft\Windows\Task Manager\Guids'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
GnuS87 Опубликовано 16 декабря, 2018 Автор Опубликовано 16 декабря, 2018 (изменено) Здравствуйте. Всё сделал,как Вы писали. Результат загрузки Файл сохранён как 181216_211404_quarantine_5c16c01c8805f.zip Размер файла 282001 MD5 c37313e6d522f41e32d50a6cc2a32ec0 Файл закачан, спасибо! ClearLNK-2018.12.17_09.25.28.log CollectionLog-2018.12.17-09.36.zip Изменено 16 декабря, 2018 пользователем GnuS87
thyrex Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
thyrex Опубликовано 17 декабря, 2018 Опубликовано 17 декабря, 2018 FastDataX 1.20 YoutubeAdBlock удалите через Установку программ. 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Tcpip\Parameters: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [DhcpNameServer] 82.163.142.9 Tcpip\..\Interfaces\{4db0fa42-5030-4cc0-badc-0ccf402a04e1}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{4ea99e0d-c5ea-4039-8fb5-850c025212d6}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [DhcpNameServer] 82.163.142.9 C:\Users\Тоха\AppData\Local\Google\Chrome\User Data\Default\Extensions\ijjgggkbpddjfaoiiiaidapcccbbphpn OPR Extension: (Adblocker for Youtube™) - C:\Users\Тоха\AppData\Roaming\Opera Software\Opera Stable\Extensions\egmfaijlgimjnjgblmkhfpalbfkeocii [2018-10-14] HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "aftisdgr.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "GatewayLayer 1.3957.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "6072874" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "7N5ULORXILJ6EXH" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SchedTaskSetup" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "3617857" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SysHelper" FirewallRules: [{58C29810-7AFC-47FF-B1E0-480729B8CD2A}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe FirewallRules: [{3C5C0212-9CBF-47B3-B46F-CEEFC20821C1}] => (Allow) C:\Users\Тоха\AppData\Local\Temp\ZaxarSetup.4.001.1690.exe\zaxarloader.exe C:\Program Files (x86)\Zaxar C:\Users\Тоха\AppData\Roaming\freetools\guids.exe C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe File: C:\Users\Тоха\AppData\Local\script.ps1 Folder: C:\Users\Тоха\AppData\Local\Temp\PmIgYzA Reboot: End::2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
GnuS87 Опубликовано 17 декабря, 2018 Автор Опубликовано 17 декабря, 2018 Здравствуйте. Код применил. А вот удалить FastDataX 1.20 и YoutubeAdBlock не смог.(Не удаётся найти путь к файлу) Fixlog_18-12-2018 09.31.27.txt
thyrex Опубликовано 18 декабря, 2018 Опубликовано 18 декабря, 2018 Тогда попробуйте зачистить их упоминания вручную в редакторе реестра. Поищите пару - шифрованный файл и его незашифрованная копия - размером не менее 150 кбайт и прикрепите в архиве к следующему сообщению.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти