Помогите шифровальщик с почтой [email protected] и расширением .Omerta

**Ikar** · 25.01.2019, 22:58

Всем доброй ночи.

В 9.04 создался текстовик с вымогательством денег.
Странное, что это произошло на удаленном рабочем столе и файлы были зашифрованы только согласно прав одного доменного имени.
Но естественно база данных общая, а все остальное личное.

Прошу помочь в сложившейся ситуации расшифровать файлы и удалить omerta...

Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.01.2019, 22:59

Уважаемый(ая) Ikar, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 27.01.2019, 02:29

Здравствуйте,

С расшифровкой не поможем, пробуйте по расшифровки обратится к антивирусным вендорам Лаборатории Касперского, DrWeb и т.п.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q={searchTerms}
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1443791288&z=6ead9eb0e7655944a4e3361g5zbzbcamftegfebbdt&from=cmi&uid=WDCXWD20EFRX-68AX9N0_WD-WMC30193644636446
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q={searchTerms} - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://smartsputnik.ru/?ri=1&uid=65794fe9884f4bfb5d194540f6fa724c&q= - >
O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk [backup] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (2015/10/02) (file missing)
O4 - MSConfig\startupreg: foryougain [command] = C:\Users\Администратор\AppData\Local\foryougain\stub.exe /run "C:\Users\Администратор\AppData\Local\foryougain\config.json" (HKCU) (2015/10/02) (file missing)
O22 - Task (.job): (Ready) APSnotifierPP1.job - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe (file missing) --notifier 3A
O22 - Task (.job): (Ready) APSnotifierPP2.job - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe (file missing) --notifier 4
O22 - Task (.job): (Ready) APSnotifierPP3.job - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe (file missing) --notifier 6
O22 - Task (.job): (disabled) 80bLWZ8NBINTnmu0C.job - C:\Users\�������������\AppData\Roaming\80bLWZ8NBINTnmu0C.exe (file missing) --c=TE/2xfe8/sKa9eqFU8xVTnjxMpawKgrqMJyDjT2okxgnPC1vxaSrsSJPwaYByvkcNLQlQZzUfYLsKiYdNb43vf3Y55ATp8Fb5+ZLlWMTA2C4bzrNxPvWhVT5YQLcBCtPT2DnGUuzSxzo/ddFfGr2C4ZNK53ydhu8MigDlq8vPXgPgcM1YXDb03aSxb89BCJLKzim37VkTtu9MQZYFIPv77fFi34cmD/b83Vbu2ro0cIbY/JKN3nAF1FvQiBwNa6iZ+2y6Jer913VLXl/L/oKaNy/iRrIqfISZ+LBuqA
O22 - Task (.job): (disabled) yILVdklGwP43I0.job - C:\Users\�������������\AppData\Roaming\yILVdklGwP43I0.exe (file missing) --c=VNd8u+MgNW0bSAcyZSbdlWSci67MqoNi5LYvhBhfqt+HJqhMRq3QFxJuYa6sHVKyrW2cSHK2sZpC/q6hvjjsRzZOUw8lq6abVWYkLY+kE2FPgSvHwHTcN4ZTDjl+h63oMkdKWNW3LZCV+ytRHggdKT9R6KQkGenC+N47ds9WHqNJIBZihMc1YAmscQsGPb/0Ak5JGl/yIE5FB5OCggbpevMUqwpKqapkS9rgYFfMj8zx4f0uznYjpeTjxgf4Z5fwMVyj6Chi4+9xn50yhTL7W4zZGVXlioEW66xJVND
O22 - Task: APSnotifierPP1 - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 3A (file missing)
O22 - Task: APSnotifierPP2 - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 4 (file missing)
O22 - Task: APSnotifierPP3 - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe --notifier 6 (file missing)
O22 - Task: RestoreSearch - C:\Windows\system32\cmd.exe /c @echo Set objShell = WScript.CreateObject("WScript.Shell") > C:\Users\836D~1\AppData\Local\Temp\1\R.vbs
O22 - Task: RestoreSearch - C:\Windows\system32\cmd.exe /c @echo objShell.Run "cmd.exe /c (copy/b/y C:\Windows\system32\GroupPolicy\Machine\R C:\Windows\system32\GroupPolicy\Machine\Registry.pol > nul)&(gpupdate/force)&(attrib +R C:\Windows\system32\GroupPolicy\Machine\Registry.pol)", 0, True >> C:\Users\836D~1\AppData\Local\Temp\1\R.vbs
O22 - Task: RestoreSearch - C:\Windows\system32\cmd.exe /c del/Q C:\Users\836D~1\AppData\Local\Temp\1\R.vbs
O22 - Task: runTask - C:\Users\836D~1\AppData\Local\Temp\1/Updater.exe /install (file missing)
O22 - Task: updateTask - c:/task.vbs (file missing)
O23 - Service S2: CD Feature - (gyvixodu) - C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\hnsv9B09.tmp (file missing)
O23 - Service S2: Disk Low-res - (lehicewu) - C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\jnsq84AA.tmp (file missing)
O23 - Service S2: SSFK - C:\Program Files (x86)\SFK\SSFK.exe Files (x86)\SFK\SSFK.exe -s (file missing)
O23 - Service S2: Width Image - (qejomiwe) - C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\knsk6C72.tmpfs (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 StopService('lehicewu');
 StopService('gyvixodu');
 StopService('qejomiwe');
 StopService('SSFK');
 DeleteService('SSFK');
 DeleteService('qejomiwe');
 DeleteService('gyvixodu');
 DeleteService('lehicewu');
 QuarantineFile('c:\task.vbs','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\1\Updater.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\1\R.vbs','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\yILVdklGwP43I0.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\80bLWZ8NBINTnmu0C.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\foryougain\config.json','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\foryougain\stub.exe','');
 QuarantineFile('C:\Program Files (x86)\SFK\SSFK.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\knsk6C72.tmpfs','');
 QuarantineFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\jnsq84AA.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\hnsv9B09.tmp','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 DeleteFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\hnsv9B09.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\jnsq84AA.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1443788048-0000-0000-1C6F65C9FCB7\knsk6C72.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\SFK\SSFK.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\foryougain','command');
 DeleteFile('C:\Users\Администратор\AppData\Local\foryougain\stub.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\foryougain\config.json','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\80bLWZ8NBINTnmu0C.job','32');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\80bLWZ8NBINTnmu0C.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\yILVdklGwP43I0.exe','32');
 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\yILVdklGwP43I0.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\1\R.vbs','32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\1\Updater.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\RestoreSearch','64');
 DeleteFile('C:\Windows\system32\Tasks\runTask','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro', 'EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Ikar** · 27.01.2019, 10:28

Доброе утро!

Все сделано.
Лог Adwclaener прилагаю.

Файл с карантином тоже привязал, но было написано "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен".

Прошу проверить загрузился или нет.

Заранее спасибо.

п.с. подписку надо оформлять официально, при моем желании?

SQ · 27.01.2019, 20:01

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Ikar** · 27.01.2019, 20:54

SQ,
Удалил почти все...
файл прилагаю...
какие дальше действия??

- - - - -Добавлено - - - - -

Еще прошу подсказать, что делать с рабочей станцией с которой пошло заражение???
Сканирование разными антивирусами ничего не дали... да и шифрования на этом компьютере не было...

SQ · 27.01.2019, 21:48

Вобще нужны логи с системы с которой все началось.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Ikar** · 27.01.2019, 22:03

По рабочей станции логи пришлю завтра. сделаю заодно подписку.

По фарбару прикрепляю файлы.

SQ · 27.01.2019, 22:19

Сообщение от Ikar

По рабочей станции логи пришлю завтра. сделаю заодно подписку.

Только создайте новую тему для него. Одна тема=один ПК.

- - - - -Добавлено - - - - -

Удалите через установку программ в панели управления:

Код:

globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

Знакома ли вам?

Код:

S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
File: C:\Program Files (x86)\Synology\CloudStation\bin\vss-service-x64.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010102] => [X]
File: C:\Windows\system32\sacsvr.dll
Folder: C:\sh5ldr
2019-01-25 09:08 - 2019-01-25 09:08 - 006220854 _____ C:\Users\Кристина\FCSvybSJh.bmp
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:07 - 2019-01-25 09:07 - 000003972 _____ C:\Users\Public\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:07 - 2019-01-25 09:07 - 000003972 _____ C:\Users\Public\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2016-07-06 08:36 - 2016-07-06 08:36 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{3C0E08BE-91FD-4FB6-B1BD-C35E1C503D19}
2016-07-06 08:36 - 2016-07-06 08:37 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{A1C7F173-DEE0-4048-B68B-CB3A82E70BA1}
2015-08-01 21:43 - 2015-08-01 21:43 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{A7002E71-5903-4517-B72B-2FB4F18DB5A0}
File: C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys
File: C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys
FirewallRules: [{F758BB05-63FE-4A38-ADFB-2D109B0E6B17}] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [{36F2B394-A3DD-4E64-98F2-DE92E52C36A5}] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [Torrentex-In-TCP] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [Torrentex-In-UDP] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [{D504F015-8BD9-4F8B-B4CE-D09DA3A69A76}] => (Allow) C:\Program Files\KMSnano\data\qemu-system-i386.exe No File
FirewallRules: [{6BF6972A-8624-46AD-A831-9F321FBAF900}] => (Allow) C:\Program Files\KMSnano\data\qemu-system-i386.exe No File
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

**Ikar** · 27.01.2019, 22:45

Сообщение от SQ

Только создайте новую тему для него. Одна тема=один ПК.

ок, я понимаю.

- - - - -Добавлено - - - - -

Сообщение от SQ

Удалите через установку программ в панели управления:

Код:

globalupdate Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

Такую программу через панель управления не нашел.. скирны прилагаю.

Сообщение от SQ

Знакома ли вам?

Код:

S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]

нет не знакомы...

Сообщение от SQ

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
File: C:\Program Files (x86)\Synology\CloudStation\bin\vss-service-x64.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010102] => [X]
File: C:\Windows\system32\sacsvr.dll
Folder: C:\sh5ldr
2019-01-25 09:08 - 2019-01-25 09:08 - 006220854 _____ C:\Users\Кристина\FCSvybSJh.bmp
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Кристина\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:08 - 2019-01-25 09:08 - 000003972 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:07 - 2019-01-25 09:07 - 000003972 _____ C:\Users\Public\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2019-01-25 09:07 - 2019-01-25 09:07 - 000003972 _____ C:\Users\Public\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2016-07-06 08:36 - 2016-07-06 08:36 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{3C0E08BE-91FD-4FB6-B1BD-C35E1C503D19}
2016-07-06 08:36 - 2016-07-06 08:37 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{A1C7F173-DEE0-4048-B68B-CB3A82E70BA1}
2015-08-01 21:43 - 2015-08-01 21:43 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{A7002E71-5903-4517-B72B-2FB4F18DB5A0}
File: C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys
File: C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys
FirewallRules: [{F758BB05-63FE-4A38-ADFB-2D109B0E6B17}] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [{36F2B394-A3DD-4E64-98F2-DE92E52C36A5}] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [Torrentex-In-TCP] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [Torrentex-In-UDP] => (Allow) C:\Torrentex\Torrentex.exe No File
FirewallRules: [{D504F015-8BD9-4F8B-B4CE-D09DA3A69A76}] => (Allow) C:\Program Files\KMSnano\data\qemu-system-i386.exe No File
FirewallRules: [{6BF6972A-8624-46AD-A831-9F321FBAF900}] => (Allow) C:\Program Files\KMSnano\data\qemu-system-i386.exe No File
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

Сделано, только не все программы были закрыты, некоторые висели в трейе...

SQ · 28.01.2019, 02:04

В системных событиях есть ошибки касаемо этих драйверов, так что давайте их удалим.

Error: (01/27/2019 09:44:23 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
ppfd_vt_1_10_0_24
wwfd_vt_1_10_0_24

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
Start::
CreateRestorePoint:
S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]
End::
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

**Ikar** · 28.01.2019, 11:01

направляю.

SQ · 28.01.2019, 15:07

На этом все, чем сможем помочь с этим сервером.

**Ikar** · 28.01.2019, 15:33

спасибо! понял...

Помогите шифровальщик с почтой [email protected] и расширением .Omerta (заявка № 221670)

Опции темы