artem zhukov 0 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Здравствуйте поймал шифровальщик 31.01.2019 Сообщение от модератора Mark D. Pearlstone Перемещено из темы. Addition.txt CollectionLog-2019.01.31-18.13.zip FRST.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 @artem zhukov, вы из германии? Reimage Repair [2019/01/31 15:06:08]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe SpyHunter 5 [2019/01/31 15:06:08]-->C:\ProgramData\EnigmaSoft Limited\sh5_installer.exe -r sh5 -lng EN деинсталируйте. c:\start.bat вам знаком? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\Windows MultiPoint Server\WmsShell.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\start.bat', ''); QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-FE6F321B.[veracrypt@foxmail.com].adobe', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '32'); DeleteFile('C:\Users\o.deynega\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\o.deynega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2674677864-3320722209-2979748230-1019\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\o.deynega\AppData\Roaming\Info.hta', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. После выполнения скрипта компьютер перезагрузите вручную. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis: F2 - HKU\S-1-5-21-2674677864-3320722209-2979748230-1000\..\WinLogon: [Shell] = C:\Program Files\Windows MultiPoint Server\WmsShell.exe Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти