Выбрать дату в календареВыбрать дату в календаре

Cryakl/CryLock - этапы "большого пути"
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Закрыто] Подозрительная активность, замедляющая работу системы
выполните рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//
Cryakl/CryLock - этапы "большого пути"
если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.
[ Закрыто] Подозрительная активность, замедляющая работу системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HP\DOWNLOADS\FRST64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref D:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Cryakl/CryLock - этапы "большого пути"
в таком случае все интересно. хэш пользователя, из под которого был запуск шифратора, журналы событий из зашифрованной системы, они наверняка не были удалены,, если не было административных прав, +  логи маршрутизатора, если было настроено логирование критических событий, и все что перечислено по пунктам 1,2,3, 4, тогда можно высказаться с большей определенностью
Cryakl/CryLock - этапы "большого пути"
все же сделайте, по пунктам 1, 2, 3, 4. в этом случае мы поможем вам быстрее найти решение,  если оно есть на текущий момент
из списка файлов sel4ru - это исходный файл шифратора, который был запущен. остальные файлы - вспомогательные, для сканирования дрругих компьютеров в лок сети и проникновения на другие компы
[ Закрыто] Подозрительная активность, замедляющая работу системы
добавьте образ автозапуска системы
После обновления не работает антивирус, ESET Smart Security
если проблема не решится, пробуйте такое решение:

• Перезагрузите компьютер в безопасном режиме.
• Удалите файл em008_32.dat из папки C:\Program Files\ESET\ESET Endpoint Security.
• Перезагрузитесь в обычный режим и дождитесь загрузки обновлений антивирусом, чтобы загрузить модуль файервола 1409.2.
Cryakl/CryLock - этапы "большого пути"
1. что вам нужно сделать. чтобы обойти блокировку. пробуйте загрузиться в систему из безопасного режима и создать образ автозапуска из зашифрованной системы.
нам необходимо убрать тело шифратора из автозапуска и снять блокировку рабочего стола. предполагаем что блокировки не должно быть в безопасном режиме.

2. нам будет нужен зашифрованный файл, чтобы определить версию Crylock, чтобы определить возможность расшифровки файлов на текущий момент.

3. поскольку атака было из под ограниченной учетки с ваших слов, то возможно уцелели теневые копии, из которых возможно восстановление защифрованных файлов с системного диска.

4. еще запросим доп логи, чтобы исследовать развитие атаки, а так же нужен будет полный архив со всеми файлами ,которые указаны на скриншоте (т.е. все  инструменты, который использовал злоумышленник для взлома и шифрования вашей системы)
Вирусы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HOUSE\APPDATA\LOCAL\YAOFFER50160\YAOFFER50160.EXE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\IRINA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_9012_1919303025\RESPONSE
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_9012_572157757\RESPONSE
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3936_652527036\RESPONSE
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_4808_432275677\RESPONSE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\I-FUNBOX DEVTEAM\IFUNBOX.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\SPLITTER.X64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\DXR.X64.DLL
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\DRIVERS\RSSP.SYS
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\48440126.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\89557334.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MALWAREBYTES\MBAM.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\HOUSE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COREL\PASMUTILITY\V1\PASMUTILITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\AVI.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\MKX.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\MP4.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\TS.X64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\OGM.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COREL\PASMUTILITY\V1\PSICLIENTBRIDGEPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref G:\MINSTALL.EXE
delref G:\WPI\MINST.EXE
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
delref D:\WORLD_OF_TANKS\WOTLAUNCHER.EXE
delref D:\WORLD_OF_TANKS\UNINS000.EXE
delref D:\WORLD_OF_TANKS\WEBSITE.URL
delref D:\WORLD_OF_TANKS\README.URL
delref D:\WORLD_OF_TANKS\GAME_MANUAL.URL
delref D:\WORLD_OF_TANKS\WIKI.URL
delref %SystemDrive%\USERS\HOUSE\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\GDSMUX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HAALI\MATROSKASPLITTER\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/