Trojan:Win32/LockScreen

Добрый день!

Помогите, пожалуйста! Получили заблокированный экран с таймеров обратного отчета и сообщением, что Windows будет удалена. После нескольких принудительных перезагрузок удалось запустить диспетчер задач. Через него запустил Explorer.exe - запустился рабочий стол, но без отображения ярлыков. В Папке пользователя desktop ярлыки все на месте. Также не запускаются программы из пуска, в том числе параметры Windows. Через диспетчер задач попробовал запустить control -получаю сообщение "Ограничения: операция отменена из-за действующих ограничений, действующих на этом компьютере. Обратитесь к системному администратору." Логи прикладываю.

Уважаемый(ая) [B]OksanaDMD[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoChangeStartMenu] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoControlPanel] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoRun] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoStartMenuMorePrograms] = 1[/code]

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
DeleteService('WinSetupMon');
DeleteSchedulerTask('GoogleUpdateTaskMachineUK');
DeleteSchedulerTask('Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PlanetVPN','x64');
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gigabyte\APP Center\Launch APP Center.lnk" (содержит только знаки NUL)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gigabyte\APP Center\Uninstall APP Center.lnk" (содержит только знаки NUL)
>>> "C:\Users\Pavlik\Desktop\Games\Roblox Studio.lnk" -> ["C:\Program Files (x86)\Roblox\Versions\version-a2e83c82e7d546d9\RobloxStudioLauncherBeta.exe" =>> -ide]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk" -> ["C:\WINDOWS\system32\wfs.exe" =>> /SendTo]
>>> "C:\Users\Pavlik\Desktop\Нужное\Planet VPN.lnk" -> ["C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe"]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Run_CSGO.lnk" -> ["C:\Program Files\Counter-Strike Global Offensive\Run_CSGO.exe"]
>>> "C:\Users\Pavlik\Desktop\Games\Roblox Player.lnk" -> ["C:\Program Files (x86)\Roblox\Versions\version-b9021bd8128442aa\RobloxPlayerLauncher.exe" =>> -app]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk" -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk" -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>> "C:\Users\Администратор\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk" -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk" -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>> "C:\Users\Pavlik\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk" -> ["C:\WINDOWS\system32\wfs.exe" =>> /SendTo]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk" -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk" -> ["C:\WINDOWS\system32\msconfig.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk" -> ["C:\WINDOWS\system32\voiceaccess.exe"][/CODE]Отчёт о работе прикрепите.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Выполнил рекомендации. Логи приложил. Ярлыки появились.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
KU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\system: [DisableLockWorkstation] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoNetworkConnections] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoWinKeys] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoFavoritesMenu] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoCommonGroups] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoCustomizeWebView] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoFileMenu] 1
Edge Notifications: Default -> hxxps://2ip.io; hxxps://aternos.org; hxxps://dl7themessu16654780854200.f4cebacks.com; hxxps://idemazone.azurewebsites.net; hxxps://moneyz.fun; hxxps://ntgdfc.com; hxxps://reportfr.azurewebsites.net; hxxps://www2-notifpushnext.azurewebsites.net
CustomCLSID: HKU\S-1-5-21-1396159523-508316669-936831084-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Проверьте, какие проблемы ещё остались.

Лог приложил. Проблем не наблюдается. Спасибо большое!

Завершаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRAR 6.11 до актуальной версии: [URL="https://habr.com/ru/news/755612/"]В WinRAR версии 6.23 устранена критическая уязвимость CVE-2023-40477, позволяющая запускать в системе вредоносный код[/URL].