В логах активен процесс шифровальщика. Не пытайтесь расшифровать файлы до его удаления, или есть риск испортить файлы.
DameWare Mini Remote Control - ваше?
Пароль на RDP сменили?
Закройте все программы,
временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\users\o.lobazov\desktop\ruch.exe','');
DeleteFile('c:\users\o.lobazov\desktop\ruch.exe','32');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
end.
Компьютер перезагрузите вручную.
После перезагрузки, выполните такой скрипт:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл
quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью
этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик:
quarantine <at> safezone.cc (замените
<at> на
@) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля:
malware в теле письма.
Скачайте
Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку
Scan.
После окончания сканирования будут созданы отчеты
FRST.txt,
Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в
этом руководстве.