Прошу помощи в борьбе с шифровальщиком

Добрый день!
Проснулся с утра , а мой Eset Nod32 сообщил мне что при попытке записать в память что-то произошло и файл удален
все фалы оказались защифрованы

[ATTACH=CONFIG]672958[/ATTACH]

Уважаемый(ая) [B]F1215[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

прикрепил

C:\Users\ANDRE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt прикрепите к следующему сообщению

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\PROGRA~3\lutyfu32.exe,,,,,…Я0w,…Я0w
,B,9,
HKU\S-1-5-21-51350620-3604795198-2079089977-500\...\Run: [nVidiaBootAgent32] => …Я0w
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-51350620-3604795198-2079089977-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-51350620-3604795198-2079089977-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dlagkjochbkkfmcgofjlipnjneahkfjn] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-51350620-3604795198-2079089977-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hnffjpappohfnmhdimbpeljbnokjagdd] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2018-08-02 05:50 - 2018-08-02 05:50 - 000001086 _____ C:\Windows\SysWOW64\README.txt
2018-08-02 05:50 - 2018-08-02 05:50 - 000001086 _____ C:\Windows\SysWOW64\Drivers\README.txt
2018-08-02 05:38 - 2018-08-02 05:38 - 000001086 _____ C:\Windows\README.txt
2018-08-02 05:37 - 2018-08-02 05:37 - 000001086 _____ C:\Users\Администратор\README.txt
2018-08-02 05:37 - 2018-08-02 05:37 - 000001086 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-02 05:37 - 2018-08-02 05:37 - 000001086 _____ C:\Users\Администратор\AppData\README.txt
2018-08-02 05:37 - 2018-08-02 05:37 - 000001086 _____ C:\Users\�������������\README.txt
2018-08-02 05:37 - 2018-08-02 05:37 - 000001086 _____ C:\Users\�������������\AppData\README.txt
2018-08-02 05:34 - 2018-08-02 05:34 - 000001086 _____ C:\Users\Администратор\Documents\README.txt
2018-08-02 05:29 - 2018-08-02 05:29 - 000001086 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-02 05:24 - 2018-08-02 05:24 - 000001086 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-02 05:24 - 2018-08-02 05:24 - 000001086 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-08-02 05:23 - 2018-08-02 05:23 - 000001086 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-02 05:21 - 2018-08-02 05:21 - 000001086 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-02 04:45 - 2018-08-02 04:45 - 000001086 _____ C:\Users\Администратор\AppData\Local\Apps\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\Администратор\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\Администратор\AppData\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\UpdatusUser\Documents\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\UpdatusUser\AppData\Roaming\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-08-02 04:44 - 2018-08-02 04:44 - 000001086 _____ C:\Users\UpdatusUser\AppData\LocalLow\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\UpdatusUser\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\UpdatusUser\AppData\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Public\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Public\Documents\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\Documents\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\Default\AppData\README.txt
2018-08-02 04:43 - 2018-08-02 04:43 - 000001086 _____ C:\Users\ANDRE\Documents\README.txt
2018-08-02 04:42 - 2018-08-02 04:42 - 000001086 _____ C:\Users\ANDRE\AppData\Roaming\README.txt
2018-08-02 04:42 - 2018-08-02 04:42 - 000001086 _____ C:\Users\ANDRE\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-02 04:42 - 2018-08-02 04:42 - 000001086 _____ C:\Users\ANDRE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-08-02 04:42 - 2018-08-02 04:42 - 000001086 _____ C:\Users\ANDRE\AppData\LocalLow\README.txt
2018-08-02 04:42 - 2018-08-02 04:42 - 000001086 _____ C:\Users\ANDRE\AppData\Local\Apps\README.txt
2018-08-02 04:41 - 2018-08-02 04:41 - 000001086 _____ C:\Users\ANDRE\README.txt
2018-08-02 04:41 - 2018-08-02 04:41 - 000001086 _____ C:\Users\ANDRE\AppData\README.txt
2018-08-02 04:39 - 2018-08-02 04:39 - 000001086 _____ C:\Users\README.txt
2018-08-02 04:36 - 2018-08-02 04:36 - 000001086 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-08-02 04:36 - 2018-08-02 04:36 - 000001086 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.txt
2018-08-02 04:33 - 2018-08-02 04:33 - 000001086 _____ C:\Users\Все пользователи\README.txt
2018-08-02 04:33 - 2018-08-02 04:33 - 000001086 _____ C:\ProgramData\README.txt
2018-08-02 03:44 - 2018-08-02 03:44 - 000001086 _____ C:\Program Files (x86)\README.txt
2018-08-02 03:36 - 2018-08-02 03:36 - 000001086 _____ C:\Program Files\Common Files\README.txt
2018-08-02 03:35 - 2018-08-02 03:35 - 000001086 _____ C:\Program Files\README.txt
2018-08-02 03:33 - 2018-08-02 03:33 - 000001086 _____ C:\Users\ANDRE\Desktop\README.txt
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

прикреплено

Как можно было пропустить?[quote="thyrex;1486002"]C:\Users\ANDRE\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\README.txt прикрепите к следующему сообщению[/quote]Присылайте теперь c:\README.txt

вообще скопировано было все и ничего не пропускалось
Прикрепил

[quote="F1215;1486008"]вообще скопировано было все и ничего не пропускалось[/quote]Это было написано перед скриптом :D

Поищите на компьютере файлы с именами, начинающимися с
[QUOTE]4D6963726F736F6674204C616E2055706461746572
4D6963726F736F66742055706461746572[/QUOTE]Сообщите результат поиска

к сожалению совпадения только до 4D6963726F736F667420

A дальше что там в имени? Напишите тут эти имена

4D6963726F736F667420466C696768742053696D756C61746F722032303034E284A22E6C6E6B

4D6963726F736F6674204F6666696365203230303720D0AFD0B7D18BD0BAD0BED0B2D18BD0B520D0BFD0B0D180D0B0D0BCD0B5D182D180D18B2E6C6E6B

4D6963726F736F6674204F66666963652050726F6A65637420536572766572203230303720D0A3D187D0B5D182D0BDD18BD0B520D0B7D0B0D0BFD0B8D181D0B82E6C6E6B

4D6963726F736F667420466C696768742053696D756C61746F722032303034E284A22E6C6E6B (4)

4D6963726F736F667420466C696768742053696D756C61746F722032303034E284A22E6C6E6B (3)

4D6963726F736F667420466C696768742053696D756C61746F722032303034E284A22E6C6E6B

4D6963726F736F6674204F6666696365204F75746C6F6F6B2E736561726368636F6E6E6563746F722D6D73

4D6963726F736F667420417420486F6D652E75726C

4D6963726F736F667420417420576F726B2E75726C

4D6963726F736F667420417420576F726B2E75726C

4D6963726F736F667420417420486F6D652E75726C

Увы, не то.

Смотрите логи системы (если это возможно и они не зашифрованы) на предмет несанкционированного входа по RDP. Пароль от RDP смените.

Увы, логи все зашифрованы
на RDP все пароли сменены у пользователей хотя и так стояли пароли сложные более 10 символов

Как я понимаю что за шифровальщик узнать не получится?
И заражение было через RDP?
Каковы шансы расшифровать?



[SPOILER=Только в роутере могу поднять инфу]Aug 02 01:24:12ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 01:24:12ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 01:24:12ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 01:24:12ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 01:24:12ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 01:24:12ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 01:49:17ndhcps_WEBADMIN: DHCPREQUEST received (STATE_RENEWING) for 192.168.0.52 from dc:d9:16:b9:76:a3.
Aug 02 01:49:17ndhcps_WEBADMIN: sending ACK of 192.168.0.52 to dc:d9:16:b9:76:a3.
Aug 02 02:06:13ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 02:06:13ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 02:06:13ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 02:06:13ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 02:06:13ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 02:06:13ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 02:48:14ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 02:48:14ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 02:48:14ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 02:48:14ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 02:48:14ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 02:48:14ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 03:30:15ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 03:30:15ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 03:30:15ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 03:30:15ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 03:30:15ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 03:30:15ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 04:10:05ndhcps_WEBADMIN: DHCPREQUEST received (STATE_RENEWING) for 192.168.0.42 from 80:13:82:6f:c3:19.
Aug 02 04:10:05ndhcps_WEBADMIN: sending ACK of 192.168.0.42 to 80:13:82:6f:c3:19.
Aug 02 04:12:16ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 04:12:16ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 04:12:16ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 04:12:16ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 04:12:16ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 04:12:16ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 04:54:17ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 04:54:17ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 04:54:17ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 04:54:17ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 04:54:17ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 04:54:17ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 05:10:53ndhcps_WEBADMIN: DHCPREQUEST received (STATE_RENEWING) for 192.168.0.52 from dc:d9:16:b9:76:a3.
Aug 02 05:10:54ndhcps_WEBADMIN: sending ACK of 192.168.0.52 to dc:d9:16:b9:76:a3.
Aug 02 05:36:18ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 05:36:18ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 05:36:18ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 05:36:18ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 05:36:18ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 05:36:18ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.
Aug 02 06:18:19ndmUPnP::Manager: redirect and forward rules deleted: tcp 22517.
Aug 02 06:18:19ndmUPnP::Manager: redirect rule added: tcp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 06:18:19ndmUPnP::Manager: forward rule added: tcp PPPoE0 -> 192.168.0.33:22517.
Aug 02 06:18:19ndmUPnP::Manager: redirect and forward rules deleted: udp 22517.
Aug 02 06:18:19ndmUPnP::Manager: redirect rule added: udp PPPoE0:22517 -> 192.168.0.33:22517.
Aug 02 06:18:19ndmUPnP::Manager: forward rule added: udp PPPoE0 -> 192.168.0.33:22517.[/SPOILER]

логи зашифрованы все
пароль от RDP сменили
каковы шансы расшифровать?

Никаких. Это CryptConsole 3

Если будет полезно.
Атака прошла и проходит со следующих ip адресов:
1.251.188.158
1.82.120.250
100.90.149.167
103.14.62.226
110.151.53.224
113.189.98.155
114.200.188.11
115.36.80.27
136.243.28.25
177.179.44.172
185.124.152.158
2.122.17.40
196.32.102.182
219.228.125.235
220.84.13.103
36.26.246.107
41.132.34.92
46.4.77.183
46.53.183.29
51.36.59.196
54.71.127.88
78.217.88.174
79.116.109.89
79.126.240.1
79.173.196.220
81.95.223.80
87.247.123.32
89.134.233.48
89.149.67.129
91.121.7.159
91.229.116.1
91.57.157.69
95.62.48.191

Везде идет атака через порты: 22517, 61397


Кстати они прислали сумму:
Hi
Cost of decoding 1000 $
After payment to the specified address bitcoin, send a screenshot from payment
and I'll send you an automatic decryptor program
BTC(address bitcoin) 1F5EUcyzBGUsX5vWZ595CQWVM1XDh332Gy

Чет дофига хотят за домашний ПК:>

Компьютер, на котором установлены программы по осуществлению госуслуг и т.п. Информация ценная, потому и идет такая стоимость. И злоумышленникам все равно, что он домашний.

По логам роутера видно, что идет некий обмен по порту 22517. Вам вечером мой коллега напишет.

Это UPnP. Там 2 порта 22517 и 61397. Отключил службу - обмен закончился

Буду ждать Вашего коллегу. Спасибо большое

Вижу, к вечеру доступ по RDP закрыли, это правильно, поскольку защита от брутфорса была слабая, 6 или 7 попыток ввода пароля и вышибает, но сразу можно было опять пытаться войти.

Keenetic со свежей прошивкой?

ESET LiveGrid был включён? И вообще, какие его компоненты были включены, включая файрволл?

на пользователях поменяли пароли
Keenetic с последней прошивкой, обновлений нет
Атаки все были через UPnP, его прибили на Keenetic
ESET был к сожалению с уже просроченной лицензией поэтому и не сработал

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

прикладываю файл

Устанавливайте:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color][/QUOTE]Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами.
[QUOTE]QuickTime v.7.71.80.42 [color=red][b]Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности![/b][/color] Рекомендуется [b][url=https://support.apple.com/ru-ru/HT205771]деинсталлировать[/url][/b] данное ПО.
Adobe AIR v.18.0.0.180 [color=red][b]Внимание! [url=https://get.adobe.com/ru/air/]Скачать обновления[/url][/b][/color]
Waterfox 52.0 (x64 en-US) v.52.0 [color=red][b]Внимание! [url=https://www.waterfoxproject.org/en-US/waterfox/desktop/]Скачать обновления[/url][/b][/color]
Yandex v.18.3.1.1248 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]
Google Chrome v.67.0.3396.99 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color][/QUOTE]Плюс эти рекомендации.

Установлены.. Но что от этого уже поменяется если уже ничего не дешифровать и систему можно смело сносить

А смысл её сносить? Данные это не вернёт. Поставите свежую систему - придётся снова обновления ставить и закрывать уязвимости.

Ну так эта система по сути превратилась в тыкву. Только что все программы переустанавливать

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Что мне сейчас можно и нужно сделать с системой?
Удалить все файлы и переустановить все программы могу. Но где гарантия что тело вируса не осталось в системе.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

после установки обнов компу пришла хана
с000021а
задело Csrss.exe, Winlogon.exe и Smss.exe

В автозагрузку этот вирус не прописывается. После перезагрузки система не стартует все равно?

нет не стартует
подменили через LiveCD все 3 файла с рабочей машины- результата нет
система даже не загружается с поддержкой командной строки.
Доходит до загрузки disk.sys и в синий экранчик вываливается

При выполнении скрипта для Farbar была создана точка восстановления. Попробуйте откатиться на нее, проверить системный диск на ошибки при помощи chkdsk, а после заново выполнить скрипт и попробовать установить обновления

это хороший совет , но диска нет с виндой, система не загружается даже в безопасном режиме, с LiveCD не востанавливается

Поищите что-то типа ERD Commander. Там точно было восстановление

Отжигают вообще походу: прислали письмо:
нужно снять жесткий диск и вставить его в другой компьютер, где установлена Windows или скопировать данные на другой жесткий диск.
до этого компьютер мне нужен доступ

Типа совесть замучала, хотят восстановить данные));)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Увы , точек восстановления нет. Походу они затираются

Была запись об успешном сздании точки восстановления.

Ничего этот вирус не затирает. Но то, что Вам приходят письма подобного плана, говорит о том, что они мониторят тему и надеются, что будете платить за расшифровку. Напишите им в ответ, чтобы перестали заниматься обфускацией тела вируса :D

Вообщем точек восстановления реально нет . Никаким образом ни одна прога ни Live CD ни ERD не видят ни одной точки восстановления, они попросту отсутствую.
Тему можно закрывать, обновления Windows в моем случае привели к краху системы
Все загрузились, установились, но при перезагрузке и обновлению на 98% винда сказала что обновления накатились с ошибками и она их удаляет.
После чего с000021а , не запуск системы и отсутствие любых точек восстановления

?????????? ???????????? ???????:
[LIST][*]???????? ??????????: [B]1[/B][*]?????????? ??????: [B]5[/B][*]? ???? ??????? ??????????? ????????? ? ?????????? ?? ??????????[/LIST]