Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe PC#2

10 июня, 2019

Доброе утро! Прошу помощи в избавлении от шифровальщика veracrypt@foxmail.com!

Это второй компьютер из сети, который предположительно был источником заражения.

Логи первого я выкидывал вчера под темой "Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe"

В его папке с открытым доступов в сети все файлы зашифровались с добавлением в названии после расширения ".id-982677F7.[veracrypt@foxmail.com].adobe".

Буду признателен за помощь!

В пристежке информация из AutoLogger.

CollectionLog-2019.06.09-21.14.zip

10 июня, 2019

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

10 июня, 2019

Скрипт выполнил. Свежий лог в аттаче.

CollectionLog-2019.06.10-11.42.zip

10 июня, 2019

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

10 июня, 2019

FRST запустил (там не было поля"Driver MD5", отметил остальные). Под конец проверки вылез error:

Line 16335 (File "FRST64.exe"):
Error: Subscript used on non-accessible variable.

Аттач.

Ой прошу прощения. Это не этого компьютера ЛОГ. Перепутал. Сейчас исправлю, приатачил не тот лог, простите.

FRST.txt

Addition.txt

Изменено 10 июня, 2019 пользователем bOOsh789

10 июня, 2019

Некоторое время подождите, сообщил автору.

Чтоб вас зря не обнадеживать - повторю слова коллеги из вашей первой темы: с расшифровкой помочь не сможем.

Возможно проявляющаяся у вас ошибка поможет в улучшении наших инструментов.

Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты.

Ой прошу прощения. Это не этого компьютера ЛОГ. Перепутал

Тогда, пожалуйста, в соседней теме проделайте это же:

Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты.

На этом компьютере следов вымогателя не видно.

Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe PC#2

Рекомендуемые сообщения

bOOsh789

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

bOOsh789

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

bOOsh789

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum