На ноутбке появились файлы .no_more_ransom, но Dr.Web ничего не находит.

[AlexAndr11 0]

Здравствуйте!

Вернулся к ноутбуку.
Сделал скриншоты в программах ProcessExplorer и ProcessMonitor.
(Программа Скайп на компьютере не установлена. А в памяти присутствует программа skypehost.)
Собрал логи.
На флешке при переносе файлов появился файл .info.txt с сегодняшним доступом.

.info.txt

CollectionLog-2018.02.26-12.40.zip

screen.zip

[AlexAndr11 0]

Процесс шифрующий файлы - найден!

Это svchost.exe(netsvcs).

Скрин монитора ресурсов прилагаю.

screen.zip

[Sandor 1 253]

Иногда вредоносные программы маскируются под этот файл, но в Вашем случае это не так.

 

Удалите папку Autologger вместе с содержимым. Скачайте заново и повторите CollectionLog.

[AlexAndr11 0]

Спасибо!

Вот логи.

Еще забыл сказать, что если указанный процесс приостановить, то диск успокаивается, но становится невозможно запустить любую программу.

CollectionLog-2018.03.05-11.00.zip

[Sandor 1 253]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

Вероятно система обновляется, из-за этого и "тормозит". Дождитесь окончания обновления и сообщите результат.

[AlexAndr11 0]

Фикс произвел.

Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:

SearchUI.exe
ShellExperienceHost.exe
SkypeHost.exe

Которые запускаются следующими строками:

"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca

"C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca

"C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe" -ServerName:SkypeHost.ServerServer

Каталог с которым работает svchost вот такой:

 Содержимое папки c:\Windows\SoftwareDistribution\Download

05.03.2018  12:03    <DIR>          079b85869c16538febb1809af4ebaeee
25.02.2017  15:28    <DIR>          2bcec784902f1c8b3aca9721ac08244c
14.08.2017  21:17    <DIR>          2c61697c2b32bc4cb79e167069472a4f
05.03.2018  12:11    <DIR>          302bc7ed35b74a8c174b8e78363283d5
13.08.2017  23:35    <DIR>          3d771220a80188db46bc23d76ebc2f78
13.08.2017  23:35    <DIR>          47693728e374003d155d04dd0e29b700
13.08.2017  23:35    <DIR>          499b9a32a59787940c1baf98941375e3
05.03.2018  12:04    <DIR>          5590472ab197c15617899d3587f97c4d
13.08.2017  23:35    <DIR>          6565beff1b7a86fd712d52353d7caa16
14.08.2017  21:16    <DIR>          c045feb455331ec9265fd044041293ef
08.02.2018  16:56    <DIR>          c3d43459fe0a382643ae8c3046989bb7
13.08.2017  23:35    <DIR>          cc38c614757069993059973dc1562649
08.02.2018  16:56    <DIR>          cdd7f68501a321758e2de7f9184e8d5a
08.02.2018  16:56    <DIR>          e0d31884d439c8235f8c3db2c7403a01
13.08.2017  23:35    <DIR>          e20d188294715076cf3e13a8e9db118e
03.07.2017  17:38        44 003 024 fa55118639f665d58899d11e8c1c1619e39baf4a
14.08.2017  21:17    <DIR>          fec8a9f32abe7c9d52f02746f71d4049

Работа происходит с каталогом оканчивающимся на d5. Вот как он выглядит внутри:

 Содержимое папки C:\Windows\SoftwareDistribution\Download\302bc7ed35b74a8c174b8e78363283d5

08.07.2017  10:23               713 amd64_000a8ac39718427ec71dd3cdb653c199_31bf3856ad364e35_10.0.10586.494_none_07db0a652e170af5.manifest
08.07.2017  10:23               713 amd64_00140955cb80bb096761a7fe4d169af9_31bf3856ad364e35_10.0.10586.494_none_447f480a163e48c8.manifest
08.07.2017  10:23             1 093 amd64_00217a36551ceaacf91244a0832a0e01_31bf3856ad364e35_10.0.10586.672_none_9500ad5b5068fe90.manifest
08.07.2017  10:23               727 amd64_002761748e37c990b21fdcf5562d24d2_31bf3856ad364e35_10.0.10586.17_none_92dba9f37ee58fc9.manifest
08.07.2017  10:23               720 amd64_0028149ecc4ad8d5801e828c282aae9a_31bf3856ad364e35_10.0.10586.672_none_c576628322df9e30.manifest
08.07.2017  10:23               666 amd64_00288240f4b53dfd260596edde9a235b_b03f5f7f11d50a3a_4.0.10586.916_none_54e6d8f979ca8b2d.manifest
08.07.2017  10:23             1 046 amd64_002da15fc0983356613a772302653f6d_31bf3856ad364e35_11.0.10586.1007_none_f3e0173fe870f893.manifest

И порядка 5 тысяч подобных файлов и каталогов с цифро-буквенными именами.

Не думаю, что таким образом происходит обновление....

Оставлял ноутбук на несколько часов, диск все так же загружен.

Скриншот Processexplorer'a и полный список каталога в котором работает svchost прилагаю.

screen.zip

[regist 617]

Java у вас установлена старая (дрявая), удалите её. Если нужна для работы, то потом скачайте и поставьте старую.

 

 

Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:

с такой паронойей ставить windows 10 противопоказано.

Да и по системному журналу ошибок у вас действительно есть события связанные с Cortana, только к вирусам это никакого отношения не имеет. Если хотите можете создать тему в соседнем разделе: Компьютерная помощь

[AlexAndr11 0]

Конечно, это не мой ноут. У меня ХР )

 

Про Java и тему я понял.

Спасибо!