• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помощь в расшифровке Шифровальщик [[email protected]][fer]

Shurikor

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день! Прийдя утром на работу увидел, что все файлы зашифрованы, произошло ночью. У всех файлов в названии стои почта и идшник. Очень прошу помощи, все что указано в инструкции выложил. Ос не переустанавливал.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Crylock версии 1.9.2.1, для этого шифровальщика нет расшифровки, просто почистим мусор. Смените пароли на RDP.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Downloads\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Documents\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Desktop\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\how_to_decrypt.hta
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\how_to_decrypt.hta
    2020-07-07 00:55 - 2020-07-07 00:55 - 000005914 _____ C:\Users\Саша\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:51 - 2020-07-07 00:51 - 000005914 _____ C:\Users\Саша\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\how_to_decrypt.hta
    2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Downloads\how_to_decrypt.hta
    2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Documents\how_to_decrypt.hta
    2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Desktop\how_to_decrypt.hta
    2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\ОСББ\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Downloads\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Documents\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Desktop\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Наталия\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Downloads\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Documents\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Desktop\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\how_to_decrypt.hta
    2020-07-07 00:33 - 2020-07-07 00:33 - 000005914 _____ C:\Users\Вика\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-02-19 18:52 - 2020-02-23 19:23 - 000000258 _____ () C:\Users\Все пользователи\fontcacheev1.dat
    2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ () C:\Users\Саша\AppData\Roaming\how_to_decrypt.hta
    2020-07-07 00:55 - 2020-07-07 00:55 - 000005914 _____ () C:\Users\Саша\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-07-07 00:51 - 2020-07-07 00:51 - 000005914 _____ () C:\Users\Саша\AppData\Local\how_to_decrypt.hta
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileCoAuthLib64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{5AB7172C-9C11-405C-8DD5-AF20F3606282}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{9AA2F32D-362A-42D9-9328-24A483E2CCC3}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{A78ED123-AB77-406B-9962-2A5D9D2F7F30}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileCoAuthLib64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{5AB7172C-9C11-405C-8DD5-AF20F3606282}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{9AA2F32D-362A-42D9-9328-24A483E2CCC3}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{A78ED123-AB77-406B-9962-2A5D9D2F7F30}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers1_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers4_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers5_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers1_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers4_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers5_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Администраторы все ваши?
Вика (S-1-5-21-1711288352-2616798619-3688675745-1004 - Administrator - Enabled) => C:\Users\Вика
Наталия (S-1-5-21-1711288352-2616798619-3688675745-1006 - Administrator - Enabled) => C:\Users\Наталия
ОСББ (S-1-5-21-1711288352-2616798619-3688675745-1001 - Administrator - Enabled) => C:\Users\ОСББ
Саша (S-1-5-21-1711288352-2616798619-3688675745-1005 - Administrator - Enabled) => C:\Users\Саша
Многовато, пожалуй.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Смените пароли на RDP
а также пароли на учётные записи. Могли быть украдены.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сверху Снизу