Упакуйте тело шифровальщика с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Установите для файлов с расширением .js ассоциацию с Блокнотом (Открыть с помощью... и галочку "Всегда использовать это приложение).
Выполните скрипт в AVZ:
Код:
begin
QuarantineFileF('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\R', '');
QuarantineFile('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '');
QuarantineFile('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '');
DeleteFile('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor\Daemon\TextEditor.exe', '32');
DeleteFile('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '32');
DeleteFileMask('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor', '*', true);
DeleteFileMask('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform', '*', true);
DeleteDirectory('C:\Users\marketing-nissan-tlt\AppData\Roaming\TextEditor');
DeleteDirectory('C:\Users\marketing-nissan-tlt\AppData\Local\SweetLabs App Platform');
ExecuteFile('schtasks.exe', '/delete /TN "SweetLabs App Platform" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TextEditor');
ExecuteSysClean;
ExecuteRepair(23);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).