Перейти к содержанию

зашифровано с расширением .windows10

PingMen
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 9

Driver Booster 3.2

HomePageDefender

IObit Malware Fighter 3

IObit Uninstaller

Smart Defrag 4

Surfing Protection

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe');
 QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Bola Soccer Star 2015.lnk', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\The Best Sports Games.lnk', '');
 DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32');
 DeleteFile('C:\Windows\Tasks\Chrome Cleanup Tool logs upload retry.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B59C4404-C829-4B01-8DB3-FF7EB04FE47A}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Да, вижу))

 

1.Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2.

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
PingMen

PingMen

Опубликовано
  • Автор
Опубликовано
Re: вир [KLAN-4637396383]
 
 
Входящие
x
 
 
 
profile_mask2.png
newvirus@kaspersky.com
17:02 (6 мин. назад)
cleardot.gif
 
cleardot.gif
cleardot.gif
кому: мне
cleardot.gif
 
 
 
 
Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

Bola Soccer Star 2015.lnk,
The Best Sports Games.lnk

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"
 

Отчёт о работе AdwCleaner (by ToolsLib) 

Отчёт о работе  утилиты ClearLNK.

AdwCleanerS1.txt

ClearLNK-06.07.2016_17-16.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2492386839-2906400686-1732784335-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File
BHO-x32: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\alofoboildbadlfhbeafcdmcineipchg [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bacoblgmbbmcidmflaidbhbgfkcclbkg [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgnnegoaebonbmnkbgfpfohipapbihgf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccgdmikddjmaafgnpjlmhbjgifjphlnf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\cddhndoecgdimmehgpbackcljbomhnem [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\eahebamiopdhefndnmappcihfajigkka [2015-12-01]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbppdmajnleplifecobbedmkhijdjabo [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\hojolgcopcjlmbghkmpoiminomlmafbm [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbobhkcilbkledlahnokhapbgjhjkhdl [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhebffdmokifmibhikpancmcaigbakpl [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlehaidnnmjjkhgbbiombcdifogolhap [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnjjlbngpejmmhgcaagljaomgnginml [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\knkapnclbofjjgicpkfoagdjohlfjhpd [2016-02-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-05-08]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkgfemnodkdnenmfkblebnkjpckkjcae [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpedbpkelbhcbkdaglillalioeeekbpb [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhalnajmigjnpjpdbpkpgfhekbjmolhp [2016-01-12]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nicgaccjjlngekkhnanadlfmlfdnggkm [2016-04-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\okehlnjpihomkdokiiafpejniofjaoom [2016-05-04]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2016-04-21]
2016-07-05 21:06 - 2016-07-05 21:06 - 03932214 _____ C:\Users\Дракон\AppData\Roaming\75CE718C75CE718C.bmp
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README1.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README1.txt
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README9.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README8.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README7.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README6.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README5.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README4.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README3.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README2.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README10.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README1.txt
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\ProductData
2016-07-06 16:48 - 2016-01-27 08:41 - 00000000 ____D C:\Program Files (x86)\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\LocalLow\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\IObit
2016-07-06 11:20 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\Roaming\IObit
2012-05-31 00:46 - 2012-05-31 00:46 - 0000232 _____ () C:\Users\Дракон\AppData\Roaming\del.bat
2012-10-13 22:40 - 2013-01-13 21:14 - 0099384 _____ () C:\Users\Дракон\AppData\Roaming\inst.exe
2012-10-13 22:40 - 2013-01-13 21:14 - 0007859 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.cat
2012-10-13 22:40 - 2013-01-13 21:14 - 0001167 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.inf
2012-10-13 22:40 - 2013-01-13 21:14 - 0082816 _____ (VSO Software) C:\Users\Дракон\AppData\Roaming\pcouffin.sys
Task: {2511BBC2-DD10-4B69-9C74-56AE2D7004DA} - System32\Tasks\{2AABA20C-7C61-40B3-B771-975E96EF539B} => pcalua.exe -a C:\Users\Дракон\Downloads\ACTv111.exe -d C:\Users\Дракон\Downloads
Task: {2C884291-1BE6-4B6B-80A0-828316C850A4} - System32\Tasks\{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42} => pcalua.exe -a C:\Users\Дракон\AppData\Local\Temp\Temp1_win61.ru-Realtek_HD_Audio_win7.zip\Vista_Win7_R241\Setup.exe
Task: {3BE0CFC2-29C8-468D-9F07-49D2135171E9} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {5BCDD936-4EE4-43C6-A8EB-D4F9B1069089} - System32\Tasks\{99CAA9FA-5457-4830-B41B-8D32570DD82E} => pcalua.exe -a C:\Users\Дракон\Downloads\hdaudio_1.00.00.59_xp_vista_win7.exe -d C:\Users\Дракон\Desktop
Task: {6BD1B5CB-77F1-4D76-9FE4-51C7ECC4B9CE} - System32\Tasks\{2E81C6E5-7DF7-4D2B-B0A6-F96C527D175A} => C:\Users\Дракон\Downloads\32bit_Vista_Win7_Win8_R270.exe
Task: {BB73CDBB-559A-425A-908A-2F89C908E4EB} - System32\Tasks\{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2} => pcalua.exe -a C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\setup.exe -d C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\
Task: {BF3F7C8A-B7A6-4799-B564-A18E0A5C6711} - System32\Tasks\{B59C4404-C829-4B01-8DB3-FF7EB04FE47A} => pcalua.exe -a "C:\Users\Дракон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KECNVGA\hdaudio_1.00.00.59_xp_vista_win7.exe" -d C:\Users\Дракон\Desktop
Task: C:\Windows\Tasks\Driver Booster SkipUAC (Дракон).job => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: C:\Windows\Tasks\RunAsStdUser Task.job => C:\Program Files (x86)\IObit\Advanced SystemCare\NoteIcon.exe C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Александр Помосов
      Зашифровали часть файлов на компьютере, расширение - .[helprequest@techmail.info].Elbie
      Автор Александр Помосов
      Добрый день!
      Сегодня, предположительно при установке mcafee webadvisor зашифровали почти все файлы.
      Первоначально было предположение о сбое, перезагружен компьютер. 
      При загрузке на рабочем столе выявлены файлы с расширением .[helprequest@techmail.info].Elbie
      Компьютер в этот момент отключил от сети, удалил из автозагрузки - позицию, вида - .cr_osn_f, в самой директории, куда ссылался запуск файл переместил и переименовал.
      Также был удалён пользователь(создан также шифровщиком), из-под которого это всё запустилось.
      Запустил Farbar Recovery Scan Tool, логи прилагаю. Также прилагаю в архиве пример двух зараженных файлов.
      Сам файл предположительно шифровальщика пока не прикрепляю(.cr_osn_f.exe), с данного компьютера файл удаляется Касперским. 
      Очень надеюсь на вашу помощь!
      FRST.txt Archive_19102022.7z
×
×
  • Создать...