[QUOTE]Vladimir Makhonin написал:
но  по указанному пути нет папки с временным файлом  4\RAD6FEB9.TMP[/QUOTE]
этот файлик (судя по характерному параметру в реестре Client Server Runtime Subsystem) и выполнил шифрование ваших файлов, но скорее всего был удален антивирусом через некоторое время
[QUOTE]KVRT и drweb cureit отработали[/QUOTE]
или по этой причине.
[QUOTE]Может это быть из-за того, что пользователь выходил из сеанса и папка очистилась?[/QUOTE]
в данном случае скрипт выполнит только очистку параметра в реестре.
более, чего то вредоносного в системе уже нет.
автоматической перезагрузки системы не будет.

добавьте образ автозапуска системы

[QUOTE]Vladimir Makhonin написал:
Добрый день.Прошу проверить образ автозапуска на наличие остатков вирусов. [/QUOTE]

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\USER15\APPDATA\LOCAL\TEMP\4\RAD6FEB9.TMP
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

кроме того, там же,
по уже после очистки от BOOT.DarkGalaxy, система была не пропатчена, и еще раз произошло заражение через сетевую атаку и WMI

можно предположить, что на этот раз в WMI был прописан запуске через powershell закодированного скрипта.

[QUOTE]powershell.exe в Windows
и грузит ЦП на 50% [/QUOTE]

[QUOTE]Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"Windows Events Consumer\"",Filter="__EventFilter.Name=\"Windows Events Filter\"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465
[/QUOTE]

+
добавлю строки из раскодированного скрипта.
взят из другого примера.

[QUOTE]$se=@(('update.7h4uk.com'),('info.7h4uk.com'),('185.128.43.62'),('185.234.217.139'))


$defun=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))

RunDDOS "[B]cohernece.exe[/B]"

KillBot('System_Anti_Virus_Core')[/QUOTE]

Поздравляем [COLOR=#00AEEF][SIZE=14pt]Вячеслава Букаса[/SIZE][/COLOR], активного пользователя форума и знатока продуктов [COLOR=#00A650][SIZE=14pt]ESET[/SIZE][/COLOR] [B]с днем рождения[/B]!

[QUOTE]Elmar Bagirov написал:
После регистрации смотрю там где имена активированных чужой мэйл, с чем это связано?[/QUOTE]
возможно, это майл компании, через которую вы приобретаете лицензию на продукт ESET.

выполните рекомендации по безопасной работе
https://forum.esetnod32.ru/forum9/topic13764//

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

setdns VirtualBox Host-Only Network\4\{BF7F9408-BFDF-41A2-B6A9-7800FFD65588}\8.8.8.8,8.8.4.4
setdns Ethernet 2\4\{CD136755-868B-46FE-938C-DAEC90D57315}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\USERS\ALLMO\APPDATA\LOCALLOW\UNITY\WEBPLAYER\L­OADER

delref & 'C:\USERS\ALLMO\APPDATA\LOCAL\COMD\COMMA.PS1' -FILE 'C:\USERS\ALLMO\APPDATA\LOCAL\COMD\C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'
delref & 'C:\USERS\ALLMO\APPDATA\LOCAL\COMD\COMMA.PS1' -FILE 'C:\USERS\ALLMO\APPDATA\LOCAL\COMD\C.EXE' -URL 'HTTP://CROWELECTRIC.RU/YTZ11ZR8K52O5HN03A58AG5AZAHW20DV'
delref HTTP://BARTATI.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=94680EE36B5752B1077D793C494BCC­56&UTM_TERM=6FBC9EE1E93EA45C9200EF7E3AC81C0E&UTM_D=20180523&­UTM_MEDIUM=P_15528_
delref HTTP://ALTAKHO.RU
delref HTTP://CLASSELECTRIC.RU/5R611UB8CX2F5P701D58ES6HQOFG2QBG
delall %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\COMD\SEMI.VBS
delref %SystemDrive%\USERS\ALLMO\APPDATA\ROAMING\CURL\WGET_1_19_4.EXE
delref %SystemDrive%\USERS\ALLMO\APPDATA\ROAMING\CURL\WGET.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_463164D40C3D26CE\INTELCPHECISVC.EXE
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %Sys32%\NOTIFIER.EXE
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\NVFONTCACHE\NVFONTCA­CHE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPYHUNTER\SPYHUNTER4.EXE
delref %SystemDrive%\PROGRA~3\DCDB5D89\EC347725.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IE_ADDON_DLL.DLL
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCALLOW\DUCKGO\DUCKGO.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MAIL.RU\DISK-O\CLOUDSHELL32.DLL
delref %Sys32%\CFDECODE64.AX
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\MICROSOFT.BLUETOOTH.LEGACY.LEENUMERATOR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\WONDERSHARE HELPER COMPACT\WSHELPER.EXE
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\PARTIZAN.SYS
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\1­8.091.0506.0007\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\1­8.091.0506.0007\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\1­8.091.0506.0007\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES\ISKYSOFT\FILMORA VIDEO EDITOR (RUSSIAN)\IMAGEHOST.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_463164D40C3D26CE\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\ALLMO\APPDATA\LOCAL\GO!\APPLICATION\GO.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска системы

судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.


[QUOTE]GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: [email protected]
   sample_extension: .GUST
   custom_rule: victim ID in encrypted file[/QUOTE]

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF­714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5A­CBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE

[QUOTE]Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла                   SVCHОST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Обнаруженные сигнатуры      
Сигнатура                   a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
                           
[B]www.virustotal.com 2018-08-16[/B]
Symantec                    Ransom.Cryptolocker
ESET-NOD32                  a variant of Win32/Filecoder.FV
Kaspersky                   HEUR:Trojan.Win32.Generic
BitDefender                 Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft                   Trojan:Win32/Fuerboos.C!cl
Avast                       Win32:Evo-gen [Susp]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс                     32-х битный
File_Id                     5AC25E98E200
Linker                      12.0
Размер                      54784 байт
Создан                      29.10.2018 в 05:26:36
Изменен                     28.07.2018 в 20:06:49
                           
TimeStamp                   02.04.2018 в 16:47:20
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
Имя файла                   Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
                           
Доп. информация             на момент обновления списка
pid = 3736                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан              05:28:57 [2018.10.29]
С момента создания          05:16:05
CPU                         0,00%
CPU (1 core)                0,03%
parentid = 5676            
SHA1                        48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5                         3D56A0E02178AC6936C7945710844FEA
                           
Образы                      EXE и DLL
SVCHОST.EXE                 C:\USERS\АДМИНИСТРАТОР\DESKTOP
                           
[/QUOTE]