Решена без расшифровки Помощь в расшифровке Шифровальщик [omegawatch@protonmail.com][fer]

Shurikor · 7 Июл 2020

Добрый день! Прийдя утром на работу увидел, что все файлы зашифрованы, произошло ночью. У всех файлов в названии стои почта и идшник. Очень прошу помощи, все что указано в инструкции выложил. Ос не переустанавливал.

akok · 7 Июл 2020

Crylock версии 1.9.2.1, для этого шифровальщика нет расшифровки, просто почистим мусор. Смените пароли на RDP.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Downloads\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Documents\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\Desktop\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\Users\Саша\AppData\how_to_decrypt.hta
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ C:\how_to_decrypt.hta
2020-07-07 00:55 - 2020-07-07 00:55 - 000005914 _____ C:\Users\Саша\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:51 - 2020-07-07 00:51 - 000005914 _____ C:\Users\Саша\AppData\Local\how_to_decrypt.hta
2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\how_to_decrypt.hta
2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Downloads\how_to_decrypt.hta
2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Documents\how_to_decrypt.hta
2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\Desktop\how_to_decrypt.hta
2020-07-07 00:50 - 2020-07-07 00:50 - 000005914 _____ C:\Users\ОСББ\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:47 - 2020-07-07 00:47 - 000005914 _____ C:\Users\ОСББ\AppData\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\ОСББ\AppData\Local\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Downloads\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Documents\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\Desktop\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:37 - 2020-07-07 00:37 - 000005914 _____ C:\Users\Наталия\AppData\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Наталия\AppData\Local\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Downloads\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Documents\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\Desktop\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:36 - 2020-07-07 00:36 - 000005914 _____ C:\Users\Вика\AppData\how_to_decrypt.hta
2020-07-07 00:33 - 2020-07-07 00:33 - 000005914 _____ C:\Users\Вика\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\USR1CV8\AppData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\postgres\AppData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2020-07-07 00:32 - 2020-07-07 00:32 - 000005914 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
2020-02-19 18:52 - 2020-02-23 19:23 - 000000258 _____ () C:\Users\Все пользователи\fontcacheev1.dat
2020-07-07 00:56 - 2020-07-07 00:56 - 000005914 _____ () C:\Users\Саша\AppData\Roaming\how_to_decrypt.hta
2020-07-07 00:55 - 2020-07-07 00:55 - 000005914 _____ () C:\Users\Саша\AppData\Roaming\Microsoft\how_to_decrypt.hta
2020-07-07 00:51 - 2020-07-07 00:51 - 000005914 _____ () C:\Users\Саша\AppData\Local\how_to_decrypt.hta
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileCoAuthLib64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{5AB7172C-9C11-405C-8DD5-AF20F3606282}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{9AA2F32D-362A-42D9-9328-24A483E2CCC3}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{A78ED123-AB77-406B-9962-2A5D9D2F7F30}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1001_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\ОСББ\AppData\Local\Microsoft\OneDrive\20.084.0426.0007\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileCoAuthLib64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{5AB7172C-9C11-405C-8DD5-AF20F3606282}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{9AA2F32D-362A-42D9-9328-24A483E2CCC3}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{A78ED123-AB77-406B-9962-2A5D9D2F7F30}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1711288352-2616798619-3688675745-1005_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll => No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers1_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers4_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers5_S-1-5-21-1711288352-2616798619-3688675745-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers1_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers4_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers5_S-1-5-21-1711288352-2616798619-3688675745-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Саша\AppData\Local\Microsoft\OneDrive\20.114.0607.0001\amd64\FileSyncShell64.dll -> No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Shurikor · 9 Июл 2020

Добрый день. Направляю Вам Fixlog

Sandor · 9 Июл 2020

Администраторы все ваши?

Вика (S-1-5-21-1711288352-2616798619-3688675745-1004 - Administrator - Enabled) => C:\Users\Вика
Наталия (S-1-5-21-1711288352-2616798619-3688675745-1006 - Administrator - Enabled) => C:\Users\Наталия
ОСББ (S-1-5-21-1711288352-2616798619-3688675745-1001 - Administrator - Enabled) => C:\Users\ОСББ
Саша (S-1-5-21-1711288352-2616798619-3688675745-1005 - Administrator - Enabled) => C:\Users\Саша

Многовато, пожалуй.

Shurikor · 9 Июл 2020

Да все наши

Sandor · 9 Июл 2020

akok написал(а):
Смените пароли на RDP

а также пароли на учётные записи. Могли быть украдены.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Решена без расшифровки Помощь в расшифровке Шифровальщик [omegawatch@protonmail.com][fer]

Shurikor

Новый пользователь

Вложения

akok

Shurikor

Новый пользователь

Вложения

Sandor

Shurikor

Новый пользователь

Sandor

Похожие темы