d280486 0 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 all your data has been locked us You want to return? write email altairs35@india.com Создал файлы утилитой FRST64 Логи приложил Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Порядок оформления запроса о помощиЛоги прикрепите к следующему сообщению в данной теме, не забыв нажать кнопку Загрузить. Ссылка на сообщение Поделиться на другие сайты
d280486 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Логи CollectionLog-2019.03.28-11.42.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Охрямкина ЕЮ\AppData\Roaming\payload.exe',''); TerminateProcessByName('c:\users\Охрямкина ЕЮ\appdata\roaming\payload.exe'); QuarantineFile('c:\users\Охрямкина ЕЮ\appdata\roaming\payload.exe',''); DeleteFile('c:\users\Охрямкина ЕЮ\appdata\roaming\payload.exe','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Users\Охрямкина ЕЮ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Users\Охрямкина ЕЮ\AppData\Roaming\payload.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Охрямкина ЕЮ\AppData\Roaming\Info.hta','x32'); DeleteFile('C:\Users\Охрямкина ЕЮ\AppData\Roaming\payload.exe','64'); DeleteFile('C:\Users\Охрямкина ЕЮ\AppData\Roaming\Info.hta','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta','x64'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta','64'); DeleteFile('C:\Windows\System32\Info.hta','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Охрямкина ЕЮ\AppData\Roaming\Info.hta','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
d280486 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Файл сохранён как 190328_084044_quarantine_5c9c888c73946.zip Размер файла 72046 MD5 2f3a9ea8042f705e97bfd376322d71d8 CollectionLog-2019.03.28-13.45.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
d280486 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Логи Addition (2).zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 C расшифровкой помочь не сможем.Пароль от RDP смените на более сложный. C:\Users\Public\Desktop\FILES ENCRYPTED.txtC:\FILES ENCRYPTED.txt удалите вручную. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти