bOOsh789 0 Опубликовано 10 июня, 2019 Share Опубликовано 10 июня, 2019 Доброе утро! Прошу помощи в избавлении от шифровальщика veracrypt@foxmail.com! Это второй компьютер из сети, который предположительно был источником заражения. Логи первого я выкидывал вчера под темой "Прошу помощи одолеть заразу [veracrypt@foxmail.com].adobe" В его папке с открытым доступов в сети все файлы зашифровались с добавлением в названии после расширения ".id-982677F7.[veracrypt@foxmail.com].adobe". Буду признателен за помощь! В пристежке информация из AutoLogger. CollectionLog-2019.06.09-21.14.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июня, 2019 Share Опубликовано 10 июня, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteRepair(1); RebootWindows(false); end. Компьютер перезагрузится. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
bOOsh789 0 Опубликовано 10 июня, 2019 Автор Share Опубликовано 10 июня, 2019 Скрипт выполнил. Свежий лог в аттаче. CollectionLog-2019.06.10-11.42.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июня, 2019 Share Опубликовано 10 июня, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
bOOsh789 0 Опубликовано 10 июня, 2019 Автор Share Опубликовано 10 июня, 2019 (изменено) FRST запустил (там не было поля"Driver MD5", отметил остальные). Под конец проверки вылез error: Line 16335 (File "FRST64.exe"):Error: Subscript used on non-accessible variable. Аттач. Ой прошу прощения. Это не этого компьютера ЛОГ. Перепутал. Сейчас исправлю, приатачил не тот лог, простите. FRST.txt Addition.txt Изменено 10 июня, 2019 пользователем bOOsh789 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 10 июня, 2019 Share Опубликовано 10 июня, 2019 Некоторое время подождите, сообщил автору. Чтоб вас зря не обнадеживать - повторю слова коллеги из вашей первой темы: с расшифровкой помочь не сможем. Возможно проявляющаяся у вас ошибка поможет в улучшении наших инструментов. Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты. Ой прошу прощения. Это не этого компьютера ЛОГ. ПерепуталТогда, пожалуйста, в соседней теме проделайте это же: Скачайте FRST64.exe заново (старую удалите) и попробуйте собрать отчёты. На этом компьютере следов вымогателя не видно. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти