crysis Подвергся атаке трояна [James2020m@aol.com].MUST

[KeksPNZ]

Вчера немного похозяйничал троян. Зашифровал файлы. Зашифрованные образцы прикрепил.
Прикрепил логи от Farbar Recovery Scan Tool. Прошу посмотреть, есть ли последствия для системы.
Сами трояны лежат в карантине другого антивируса(не будем пиарить конкурентов). Если расскажите как безопасно их достать, скину.

зашифрованные файлы.rar Логи.rar

[Sandor]

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

Помощь в очистке системы от его следов нужна или планируете переустановку?

[KeksPNZ]

12 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Переустанавливать не хочется. Слишком много настраивать. 
Помощь в очистке очистке нужна.

[Sandor]

Четыре пользователя обладают правами администратора. Многовато.

Смените пароли на учетки и на RDP.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\Users\GlBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-10-26] () [Файл не подписан]
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
  2021-10-26 17:46 - 2021-10-26 17:46 - 000007216 _____ C:\Users\GlBuh\AppData\Roaming\Info.hta
  2021-10-26 17:46 - 2021-10-26 17:46 - 000000214 _____ C:\Users\GlBuh\Desktop\FILES ENCRYPTED.txt
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[KeksPNZ]

3 часа назад, Sandor сказал:

Четыре пользователя обладают правами администратора. Многовато.

Смените пароли на учетки и на RDP.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\Users\GlBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-10-26] () [Файл не подписан]
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
  2021-10-26 17:46 - 2021-10-26 17:46 - 000007216 _____ C:\Users\GlBuh\AppData\Roaming\Info.hta
  2021-10-26 17:46 - 2021-10-26 17:46 - 000000214 _____ C:\Users\GlBuh\Desktop\FILES ENCRYPTED.txt
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Этот код нужно вставить в FRST? 

[Sandor]

Вставлять никуда не нужно. Он выполнится из буфера обмена.