2-й компьютер с NO_MORE_RAMSON

[Romcop]

С Наступающим!

 

На 2-м компьютере бухгалтерии. Зашифрованы файлы на диске С частично, на Е (восстановление системы) практически полностью. На сетевые диски тоже навалил README... Вообщем, отключил сеть, вошел под администратором, проверил KVRT, включил AutoLogger. Результаты Autologger`а. 

CollectionLog-2016.12.29-12.39.zip

report1.log

report2.log

[Sandor]

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Romcop]

Сделано.

Addition.txt

ClearLNK-29.12.2016_16-38.log

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
2016-12-28 16:41 - 2016-12-28 16:41 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-28 16:41 - 2016-12-28 16:41 - 00000000 __SHD C:\ProgramData\Windows
2016-12-29 16:38 - 2016-11-23 14:12 - 00000000 ____D C:\Users\UserADC27\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-12-29 16:38 - 2014-10-06 10:28 - 00000000 ____D C:\Users\UserADC27\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain
C:\Users\UserADC27\AppData\Local\Temp\amigo_setup.exe
Task: {9A0F246A-08B3-4452-8AC2-E29FECA9FF14} - System32\Tasks\MailRuUpdater => C:\Users\UserADC27\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-10-21] (Mail.Ru)
Task: {DE11A4C1-D7E7-4C8F-BEB4-393BFCAEC416} - \Price Fountain -> No File <==== ATTENTION
Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\USERAD~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

В соседней теме тоже жду логи FRST

[Romcop]

Сделано.

Fixlog.txt

[Sandor]

Меняйте важные пароли. Создайте запрос на расшифровку.

До окончания не удаляйте папку C:\FRST

[Romcop]

Спасибо большое.