Вирус, создал архив WinRAR с паролем

[dserp]

Здравствуйте! Не совсем понятно как, но подозреваю, что через RDP получил "гранату". Выборочно заархивировал данные с паролей, как всегда важные данные, и создал текстовый файл "ВАЖНО!!!!!" с следующим содержимым 

Внимание! Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата в эквиваленте 20000р (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту rob1111stewar@usa.com (резервный rob1111stewar@hotmail.com) , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru). 
IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Сразу, чтобы "не вставать дважды", к вопросу о гарантиях, который задают почти все - "где гарантия того, что после оплаты - пришлете пароль", "где гарантия что данные откроются" и т.п.
Ответ: как вы видите - архив с данными у вас лежит и доступен к просмотру. Хотел бы кинуть - удалил бы просто все и сказал что данные у меня лежат, а после оплаты - слился бы, а не заморачивался бы с архивацией информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в 
    системе и никто вас более не потревожит. В конце концов почту мою загуглите, - не вы первые, не вы последние, но кинутых не было.
Если сильно так хочется гарантию распаковки - заливайте архив на яндекс диск, присылайте ссылку, скачаю

Ниже все необходимые скрипты

KL_syscure.zip

[regist]

Порядок оформления запроса о помощи
 

[dserp]

Делал в инструкции https://forum.kaspersky.com/index.php?showtopic=218224. 

Сделал как требуют правила. Логи во вложении.

CollectionLog-2017.06.06-10.06.zip

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[dserp]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Здравствуйте! Вложил отчеты

Addition.txt

FRST.txt

Shortcut.txt

[regist]

HKLM\...\Policies\Explorer: [showSuperHidden] 1
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Эти политики сами настраивали?

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[dserp]

 

HKLM\...\Policies\Explorer: [showSuperHidden] 1

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Эти политики сами настраивали?

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Нет, каких либо политик специально не настраивали. Во вложении лог

Fixlog.txt

[Sandor]

Фикс вероятно выполнили дважды, это было лишнее. Достаточно один раз.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
  GroupPolicyScripts: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[dserp]

Фикс вероятно выполнили дважды, это было лишнее. Достаточно один раз.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
  GroupPolicyScripts: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Да, возможно процедура была запущенна дважды. Во вложении новый лог

Fixlog.txt

[regist]

С расшифровкой помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.