GnuS87 0 Опубликовано 16 декабря, 2018 Share Опубликовано 16 декабря, 2018 Здравствуйте! Обновилась WiNDOWS 10,после перезагрузки зашифровались файлы.Теперь они имеют расширение.pumas . Прикрепил к сообщению CollectionLog. и сообщение. CollectionLog-2018.12.16-14.22.zip !readme.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 декабря, 2018 Share Опубликовано 16 декабря, 2018 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Тоха\AppData\Roaming\freetools\guids.exe',''); DelBHO('{D401A51B-6BF6-4F86-8D38-CE451BF05A1D}'); QuarantineFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe',''); QuarantineFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe',''); DeleteFile('C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\y4nf3twzaku\pml5ahisoh1.exe','32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\SchedTaskSetup\sched.exe','32'); DeleteFile('C:\Users\Тоха\AppData\Roaming\e3krhom1xpd\yrjq1wfag5p.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3617857','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SchedTaskSetup','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6072874','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SysHelper','x64'); DeleteFile('C:\Program Files (x86)\oZijLukbOIE\k3XCBTt.dll','32'); DeleteSchedulerTask('Microsoft\Windows\Task Manager\Guids'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
GnuS87 0 Опубликовано 16 декабря, 2018 Автор Share Опубликовано 16 декабря, 2018 (изменено) Здравствуйте. Всё сделал,как Вы писали. Результат загрузки Файл сохранён как 181216_211404_quarantine_5c16c01c8805f.zip Размер файла 282001 MD5 c37313e6d522f41e32d50a6cc2a32ec0 Файл закачан, спасибо! ClearLNK-2018.12.17_09.25.28.log CollectionLog-2018.12.17-09.36.zip Изменено 16 декабря, 2018 пользователем GnuS87 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
GnuS87 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 Выполнил Addition.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 17 декабря, 2018 Share Опубликовано 17 декабря, 2018 FastDataX 1.20 YoutubeAdBlock удалите через Установку программ. 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Tcpip\Parameters: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{28da6bf5-8ea4-495a-8aa2-125e14a4de0e}: [DhcpNameServer] 82.163.142.9 Tcpip\..\Interfaces\{4db0fa42-5030-4cc0-badc-0ccf402a04e1}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{4ea99e0d-c5ea-4039-8fb5-850c025212d6}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [NameServer] 82.163.142.9 95.211.158.137 Tcpip\..\Interfaces\{97e03eb4-cf2d-43ae-bb75-b6d103a7ca44}: [DhcpNameServer] 82.163.142.9 C:\Users\Тоха\AppData\Local\Google\Chrome\User Data\Default\Extensions\ijjgggkbpddjfaoiiiaidapcccbbphpn OPR Extension: (Adblocker for Youtube™) - C:\Users\Тоха\AppData\Roaming\Opera Software\Opera Stable\Extensions\egmfaijlgimjnjgblmkhfpalbfkeocii [2018-10-14] HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "aftisdgr.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\StartupFolder: => "GatewayLayer 1.3957.lnk" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "6072874" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "7N5ULORXILJ6EXH" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SchedTaskSetup" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "3617857" HKU\S-1-5-21-647445580-295659389-3501336336-1001\...\StartupApproved\Run: => "SysHelper" FirewallRules: [{58C29810-7AFC-47FF-B1E0-480729B8CD2A}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe FirewallRules: [{3C5C0212-9CBF-47B3-B46F-CEEFC20821C1}] => (Allow) C:\Users\Тоха\AppData\Local\Temp\ZaxarSetup.4.001.1690.exe\zaxarloader.exe C:\Program Files (x86)\Zaxar C:\Users\Тоха\AppData\Roaming\freetools\guids.exe C:\Users\Тоха\AppData\Local\37417ab6-0594-43fb-8fde-cfbbc6f9b4bb\5929.tmp.exe File: C:\Users\Тоха\AppData\Local\script.ps1 Folder: C:\Users\Тоха\AppData\Local\Temp\PmIgYzA Reboot: End::2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
GnuS87 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 Здравствуйте. Код применил. А вот удалить FastDataX 1.20 и YoutubeAdBlock не смог.(Не удаётся найти путь к файлу) Fixlog_18-12-2018 09.31.27.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 Тогда попробуйте зачистить их упоминания вручную в редакторе реестра. Поищите пару - шифрованный файл и его незашифрованная копия - размером не менее 150 кбайт и прикрепите в архиве к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
GnuS87 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 Пара файлов. Аналоги.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 19 декабря, 2018 Share Опубликовано 19 декабря, 2018 Проверьте ЛС Ссылка на сообщение Поделиться на другие сайты
GnuS87 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 Спасибо.Всё получилось. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти