crylock 2.0.0.0 вирус шифратор fairexchange@qq.com

[xram]

Поймали вирус шифровальщик fairexchange@qq.com все файлы после расширения добавилась данная запись и набор символов. прошу помогите пожуйста

Addition.txt FRST.txt xram пароль 1111.7z

[Sandor]

Здравствуйте!

 

Упакуйте образцы зашифрованных файлов без записки о выкупе, пожалуйста, и прикрепите к следующему сообщению.

[xram]

xram пароль 1111 новый.rar

[Sandor]

К сожалению, расшифровки этой версии вымогателя нет.

Систему будем чистить от его следов, или планируете переустановку?

[xram]

3 минуты назад, Sandor сказал:

К сожалению, расшифровки этой версии вымогателя нет.

Систему будем чистить от его следов, или планируете переустановку?

а как чистить?

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\Downloads\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\Documents\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\Desktop\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\Users\Администратор.1cserver\AppData\how_to_decrypt.hta
  2021-02-06 20:43 - 2021-02-06 20:43 - 000013918 _____ C:\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\Downloads\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\Documents\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\Desktop\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:42 - 2021-02-06 20:42 - 000013918 _____ C:\Users\Zarplata\AppData\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\Downloads\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\Documents\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\Desktop\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:41 - 2021-02-06 20:41 - 000013918 _____ C:\Users\tehnik3\AppData\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\tehnik3\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\Downloads\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\Documents\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\Desktop\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik2\AppData\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\Downloads\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\Documents\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\Desktop\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:40 - 2021-02-06 20:40 - 000013918 _____ C:\Users\Tehnik1\AppData\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Tehnik1\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\Downloads\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\Documents\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\Desktop\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sveta\AppData\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\Downloads\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\Documents\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\Desktop\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:39 - 2021-02-06 20:39 - 000013918 _____ C:\Users\Sklad\AppData\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\Downloads\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\Documents\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\Desktop\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Ruzanov\AppData\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\Downloads\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\Documents\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\Desktop\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\PC-2\AppData\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Kassa\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Kassa\Downloads\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Kassa\Documents\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Kassa\Desktop\how_to_decrypt.hta
  2021-02-06 20:38 - 2021-02-06 20:38 - 000013918 _____ C:\Users\Kassa\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Kassa\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Kassa\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Kassa\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Kassa\AppData\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\Downloads\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\Documents\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\Desktop\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Irina\AppData\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\Downloads\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\Documents\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\Desktop\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Glavbuh\AppData\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\Downloads\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\Documents\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\Desktop\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:37 - 2021-02-06 20:37 - 000013918 _____ C:\Users\Econom\AppData\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\Downloads\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\Documents\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\Desktop\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\AppData\Local\how_to_decrypt.hta
  2021-02-06 20:36 - 2021-02-06 20:36 - 000013918 _____ C:\Users\Dell\AppData\how_to_decrypt.hta
  2021-02-06 20:35 - 2021-02-06 20:35 - 000013918 _____ C:\Users\admin\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\Downloads\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\Documents\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\Desktop\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
  2021-02-06 20:34 - 2021-02-06 20:34 - 000013918 _____ C:\Users\admin\AppData\how_to_decrypt.hta
  2021-02-06 19:51 - 2021-02-06 19:51 - 000013918 _____ C:\Users\how_to_decrypt.hta
  2021-02-06 19:51 - 2021-02-06 19:51 - 000013918 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
  2021-02-06 19:51 - 2021-02-06 19:51 - 000013918 _____ C:\Users\admin\AppData\Local\Apps\how_to_decrypt.hta
  FirewallRules: [{0CC69FE6-5FCB-46C0-A247-D50BBE9AD0D6}] => (Allow) LPort=475
  FirewallRules: [{A3479E03-B97A-4C50-84E9-31B694DFD250}] => (Allow) LPort=475
  FirewallRules: [{B33BFD84-1A3B-435E-97D0-7450FD9F9E64}] => (Allow) LPort=9422
  FirewallRules: [{C86600D1-51CD-48D2-859B-C3B35FDF9FBC}] => (Allow) LPort=9245
  FirewallRules: [{ACBB7E0D-527C-4935-AF11-DE6E7AC6B085}] => (Allow) LPort=9246
  FirewallRules: [{086E37B7-1081-4EBD-AA88-6BF76418C936}] => (Allow) LPort=9247
  FirewallRules: [{37751922-7B5A-4529-9126-7B7CB695DD33}] => (Allow) LPort=3389
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пользователь

Цитата

UserHelp

с правами админа ваш?

 

Пароль на RDP смените.

[xram]

а файлы которые зараженные удалит? или просто удалит все упоминания о вирусе?

 

а как можно проверить другие машины на наличие данного вируса? 

 

[Sandor]

5 минут назад, xram сказал:

а файлы которые зараженные удалит?

Нет.

 

4 минуты назад, xram сказал:

а как можно проверить другие машины на наличие данного вируса?

Проверьте антивирусом. Если же хотите здесь проверить, действуйте по принципу один компьютер - одна тема.

 

11 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Жду.

[xram]

3 минуты назад, Sandor сказал:

Нет.

 

Проверьте антивирусом. Если же хотите здесь проверить, действуйте по принципу один компьютер - одна тема.

 

Жду.

а код который вы прислали он удаляет файлы вируса только на диске С я так понял,  а на других локальных дисках и папках как его удалить? 

[Sandor]

Это не файлы вируса, а всего лишь требование выкупа. Выполните уже скрипт.

[xram]

Fixlog.txt

[Sandor]

Достаточно было один раз выполнить скрипт.

Вы не ответили на вопрос о пользователе.

[xram]

извините пожалуйста что за UserHelp?
на машине есть простая учетка и администратора.
что за пароль RDP?

[Sandor]

Спойлер

admin (S-1-5-21-4012676185-1623016575-2090652867-1000 - Limited - Enabled) => C:\Users\admin
Afonin (S-1-5-21-4012676185-1623016575-2090652867-1001 - Limited - Enabled) => C:\Users\Afonin
Boris (S-1-5-21-4012676185-1623016575-2090652867-1019 - Limited - Enabled) => C:\Users\Boris
Dell (S-1-5-21-4012676185-1623016575-2090652867-1002 - Limited - Enabled) => C:\Users\Dell
Director (S-1-5-21-4012676185-1623016575-2090652867-1003 - Limited - Enabled) => C:\Users\Director
Econom (S-1-5-21-4012676185-1623016575-2090652867-1004 - Limited - Enabled) => C:\Users\Econom
Glavbuh (S-1-5-21-4012676185-1623016575-2090652867-1005 - Limited - Enabled) => C:\Users\Glavbuh
Irina (S-1-5-21-4012676185-1623016575-2090652867-1006 - Limited - Enabled) => C:\Users\Irina
Kassa (S-1-5-21-4012676185-1623016575-2090652867-1007 - Limited - Enabled) => C:\Users\Kassa
PC-2 (S-1-5-21-4012676185-1623016575-2090652867-1008 - Limited - Enabled) => C:\Users\PC-2
Ruzanov (S-1-5-21-4012676185-1623016575-2090652867-1018 - Limited - Enabled) => C:\Users\Ruzanov
Secretar (S-1-5-21-4012676185-1623016575-2090652867-1009 - Limited - Enabled) => C:\Users\Secretar
Sklad (S-1-5-21-4012676185-1623016575-2090652867-1010 - Limited - Enabled) => C:\Users\Sklad
Sveta (S-1-5-21-4012676185-1623016575-2090652867-1011 - Limited - Enabled) => C:\Users\Sveta
Tehnik1 (S-1-5-21-4012676185-1623016575-2090652867-1012 - Limited - Enabled) => C:\Users\Tehnik1
Tehnik2 (S-1-5-21-4012676185-1623016575-2090652867-1013 - Limited - Enabled) => C:\Users\Tehnik2
tehnik3 (S-1-5-21-4012676185-1623016575-2090652867-1014 - Limited - Enabled) => C:\Users\tehnik3
tehotdel (S-1-5-21-4012676185-1623016575-2090652867-1015 - Limited - Enabled) => C:\Users\tehotdel
Titov (S-1-5-21-4012676185-1623016575-2090652867-1016 - Limited - Enabled) => C:\Users\Titov
UserHelp (S-1-5-21-4012676185-1623016575-2090652867-1020 - Administrator - Enabled) => C:\Users\UserHelp
Zarplata (S-1-5-21-4012676185-1623016575-2090652867-1017 - Limited - Enabled) => C:\Users\Zarplata
Администратор (S-1-5-21-4012676185-1623016575-2090652867-500 - Administrator - Enabled) => C:\Users\Администратор.1cserver
Гость (S-1-5-21-4012676185-1623016575-2090652867-501 - Limited - Disabled)

Речь об этом (см. выше)

 

14 минут назад, xram сказал:

что за пароль RDP?

Remote Desktop Protocol или подключение к удалённому рабочему столу.

Проникновение в систему произошло из-за взлома пароля, поэтому и рекомендуем сменить пароли всех учётных записей.

[xram]

UserHelp да с правами админа.
RDP пароли все сменим.
а скажите пожалуйста, в ближайшее время будут какие-то дешифраторы по данному направлению.
мы хотели сохранить зашифрованные файлы на съемный диск что бы потом можно было восстановить