Trojan:Win32/LockScreen

[OksanaDMD]

Добрый день!

Помогите, пожалуйста! Получили заблокированный экран с таймеров обратного отчета и сообщением, что Windows будет удалена. После нескольких принудительных перезагрузок удалось запустить диспетчер задач. Через него запустил Explorer.exe - запустился рабочий стол, но без отображения ярлыков. В Папке пользователя desktop ярлыки все на месте. Также не запускаются программы из пуска, в том числе параметры Windows. Через диспетчер задач попробовал запустить control -получаю сообщение "Ограничения: операция отменена из-за действующих ограничений, действующих на этом компьютере. Обратитесь к системному администратору." Логи прикладываю.

[Info_bot]

Уважаемый(ая) OksanaDMD, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoChangeStartMenu] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoControlPanel] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoRun] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [NoStartMenuMorePrograms] = 1

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteService('WinSetupMon');
 DeleteSchedulerTask('GoogleUpdateTaskMachineUK');
 DeleteSchedulerTask('Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PlanetVPN','x64');
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gigabyte\APP Center\Launch APP Center.lnk"  (содержит только знаки NUL)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gigabyte\APP Center\Uninstall APP Center.lnk"         (содержит только знаки NUL)
>>>  "C:\Users\Pavlik\Desktop\Games\Roblox Studio.lnk"       -> ["C:\Program Files (x86)\Roblox\Versions\version-a2e83c82e7d546d9\RobloxStudioLauncherBeta.exe"  =>> -ide]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk"       -> ["C:\WINDOWS\system32\wfs.exe"  =>> /SendTo]
>>>  "C:\Users\Pavlik\Desktop\Нужное\Planet VPN.lnk"         -> ["C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe"]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Run_CSGO.lnk"  -> ["C:\Program Files\Counter-Strike Global Offensive\Run_CSGO.exe"]
>>>  "C:\Users\Pavlik\Desktop\Games\Roblox Player.lnk"       -> ["C:\Program Files (x86)\Roblox\Versions\version-b9021bd8128442aa\RobloxPlayerLauncher.exe"  =>> -app]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"        -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"           -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"           -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"   -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"       -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Администратор\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"   -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"     -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"        -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"        -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"          -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\Pavlik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"    -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Pavlik\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"          -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk"          -> ["C:\WINDOWS\system32\wfs.exe"  =>> /SendTo]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"   -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk"      -> ["C:\WINDOWS\system32\msconfig.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"    -> ["C:\WINDOWS\system32\voiceaccess.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[OksanaDMD]

Выполнил рекомендации. Логи приложил. Ярлыки появились.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
KU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\system: [DisableLockWorkstation] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoNetworkConnections] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoWinKeys] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoFavoritesMenu] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoCommonGroups] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoCustomizeWebView] 1
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\Explorer: [NoFileMenu] 1
Edge Notifications: Default -> hxxps://2ip.io; hxxps://aternos.org; hxxps://dl7themessu16654780854200.f4cebacks.com; hxxps://idemazone.azurewebsites.net; hxxps://moneyz.fun; hxxps://ntgdfc.com; hxxps://reportfr.azurewebsites.net; hxxps://www2-notifpushnext.azurewebsites.net
CustomCLSID: HKU\S-1-5-21-1396159523-508316669-936831084-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Проверьте, какие проблемы ещё остались.

[OksanaDMD]

Лог приложил. Проблем не наблюдается. Спасибо большое!

[Vvvyg]

Завершаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRAR 6.11 до актуальной версии: В WinRAR версии 6.23 устранена критическая уязвимость CVE-2023-40477, позволяющая запускать в системе вредоносный код.