[QUOTE]RP55 RP55 написал:
[URL=https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663]https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663[/URL]

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%[/QUOTE]
уже было такое ранее:
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

перенес тему:
https://forum.esetnod32.ru/forum6/topic16130/

здесь аналогичная тема:
https://virusinfo.info/showthread.php?t=225795

в hj висит задача:
O22 - Task: MicrosoftOfficeScheduledUpdate - C:\Windows\system32\rundll32.exe C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­org.dll,UpdateService

хотя потоки в notepad, которые показаны в uVS здесь  не увидят

нужен новый образ автозапуска для контроля:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [6152], tid=7868
поскольку обнаружены потоки в легальном файле notepad.exe

хотя возможно через этот модуль внедрялись потоки в notepad
rundll32.exe C:\Users\Andrey\AppData\Roaming\Microsoft\freetp\[B]freetporg.dll[/B],UpdateService
MSIL/Agent.TPR [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-03-07

подобные трюк уже были ранее на форумах.
здесь подробнее описано
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

возможно, что данная dll (freetporg.dll) извлечена из реестра, так же как и WindowsDiagnostics.dll в предыдущем случае

попробуйте выполнить на проблемном компьютере из cmd с правами администратора:
netsh winsock reset catalog
перегрузить систему и еще сделать изменение скорости доступа
+
добавить новый лог ESETsysinspector

файл зашифрован версией Crylock 2.0.0.0
[QUOTE]{sel4ru}{3E2730A7-21C21601}{2.0.0.0}[/QUOTE]
по данной версии пока нет расшифровки. ждем образ автозапуска для анализа системы, и возможности получения системных журналов.

собственно, дубль темы:
https://forum.kasperskyclub.ru/topic/75009-crylock-ili-cryakl-crylock-ili-cryakl-za-shifroval-fajly-ogranichennogo-polzovatelja-puti-reshenija/

надеюсь, будет какой-то полезный результат по вашему обращению здесь

[QUOTE]alx bit написал:
[QUOTE] santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
 [URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.[/QUOTE]
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.

начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/

выполните рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//

если не смогли получить админские права, значит не смогли бы отключить антивирусные программы, если они были установлены. Crylock должен был дететктироваться при запуске шифрования. так что ждем образ автозапуска системы, можно из безопасного режима. чтобы разглядеть ваш случай повнимательнее. тем более, что у вас снят виртуальный образ с компутера. можно внимательно изучить атаку.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HP\DOWNLOADS\FRST64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref D:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

в таком случае все интересно. хэш пользователя, из под которого был запуск шифратора, журналы событий из зашифрованной системы, они наверняка не были удалены,, если не было административных прав, +  логи маршрутизатора, если было настроено логирование критических событий, и все что перечислено по пунктам 1,2,3, 4, тогда можно высказаться с большей определенностью