Установила непонятную программу, помогите пожалуйста удалить.

[mirapinna]

Здравствуйте. Случайно запустила из письма непонятную программу. Она при запуске просто исчезла из папки. Помогите пожалуйста её удалить.

[Info_bot]

Уважаемый(ая) mirapinna, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mirapinna]

Вообще не могу зайти в виндовс, сразу рушатся файлы, переименовываются.

[Vvvyg]

Загрузите систему в безопасном режиме, если проблемы.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 DeleteService('McAfee WebAdvisor');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Codec Pack Update Checker', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleDriveSync', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetDrive3', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YandexDisk2', 'x64');
 DeleteSchedulerTask('{03A0D6D4-D5C8-4604-A8A0-EC9DDC47B86D}');
 DeleteSchedulerTask('{65932992-2EB4-4B06-8265-25581A15E50C}');
 DeleteSchedulerTask('AVG\Overseer');
 DeleteSchedulerTask('Hewlett-Packard\HP Active Health\HP Active Health Scan (HPSA)');
 DeleteSchedulerTask('Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start');
 DeleteSchedulerTask('Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater');
 DeleteSchedulerTask('Hewlett-Packard\HP Support Assistant\PC Health Analysis');
 DeleteSchedulerTask('Hewlett-Packard\HP Support Assistant\Product Configurator');
 DeleteSchedulerTask('Lenovo\Lenovo Service Bridge\S-1-5-21-1780976589-2599789734-2737271661-1000');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

- "C:\Users\Marusya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo\OneKey Recovery\OneKey Recovery.lnk"   (содержит только знаки NUL)
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Информация о сборке.lnk"  -> ["C:\Program Files (x86)\Total Commander\TCPPhelp.htm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Support Assistant.lnk"       -> ["C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe"  =>> /p 1]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 10 - Codec Pack\Uninstall.lnk"    -> ["C:\Windows\system32\Codecs\Uninst.exe"]
>>>  "C:\Users\Marusya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\What's new.lnk"     -> ["C:\Program Files (x86)\Image-Line\FL Studio 10\WhatsNew.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\What's new.lnk"   -> ["C:\Program Files (x86)\Image-Line\FL Studio 10\WhatsNew.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony\Vegas Pro 13.0\Vegas Pro 13.0 Readme.lnk"      -> ["C:\Program Files\Sony\Vegas Pro 13.0\Readme\Vegas_readme.htm"]
>>>  "C:\Users\Marusya\Links\A360 Drive.lnk"       -> ["C:\Users\yangga\AppData\Local\Autodesk\Autodesk Sync\Cloud\xiaoqiang001"]
>>>  "C:\Users\Marusya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo\Lenovo Service Bridge.lnk"           -> ["C:\Users\Marusya\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSB.exe"]
>>>  "C:\Users\Marusya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo\Деинсталлировать Lenovo Service Bridge.lnk"    -> ["C:\Users\Marusya\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\unins000.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[mirapinna]

Подскажите пожалуйста, если успели переустановить виндовс, имеет смысл проводить лечение? И есть ли возможность восстановить зашифрованные файлы?

- - - - -Добавлено - - - - -

Карантин прикрепить не получилось. Пишет "Ошибка загрузки. Данный файл уже был загружен"

[Vvvyg]

Смысла тогда лечить нет никакого.

Прикрепите пример зашифрованного файла. Сразу предупреждаю, вероятность расшифровки мала.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[mirapinna]

Готово.

[Vvvyg]

Вариант шифровальщика Shade, расшифровки нет.

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Установите Internet Explorer 11, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4519976 [color=red]Внимание! Скачать обновления[/color

Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

Автоматическое обновление отключено (-1)

Лучше, конечно, автоматически установить все доступные обновления.

[mirapinna]

Спасибо большое!