Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe PC#2

[bOOsh789]

Доброе утро! Прошу помощи в избавлении от шифровальщика veracrypt@foxmail.com!

Это второй компьютер из сети, который предположительно был источником заражения.

Логи первого я выкидывал вчера под темой "Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe"

 

В его папке с открытым доступов в сети все файлы зашифровались с добавлением в названии после расширения ".id-982677F7.[veracrypt@foxmail.com].adobe".

 

Буду признателен за помощь!

 

В пристежке информация из AutoLogger.

 

CollectionLog-2019.06.09-21.14.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[bOOsh789]

Скрипт выполнил. Свежий лог в аттаче.

CollectionLog-2019.06.10-11.42.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[bOOsh789]

FRST запустил (там не было поля"Driver MD5", отметил остальные). Под конец проверки вылез error:

 

Line 16335 (File "FRST64.exe"):
Error: Subscript used on non-accessible variable.

 

Аттач.

 

Ой прошу прощения. Это не этого компьютера ЛОГ. Перепутал. Сейчас исправлю, приатачил не тот лог, простите.

FRST.txt

Addition.txt

Изменено 10 июня, 2019 пользователем bOOsh789

[Sandor]

Некоторое время подождите, сообщил автору.

 

Чтоб вас зря не обнадеживать - повторю слова коллеги из вашей первой темы: с расшифровкой помочь не сможем.

Возможно проявляющаяся у вас ошибка поможет в улучшении наших инструментов.

Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты.

Ой прошу прощения. Это не этого компьютера ЛОГ. Перепутал

Тогда, пожалуйста, в соседней теме проделайте это же:

 

Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты.

 

На этом компьютере следов вымогателя не видно.