Здравствуйте. Возможно не туда пишу, но надо создать программку, желательно bat расширения, чтобы на всём диске удалял определённое расширение у файлов. А то вирус переименовал кучу файлов, а как вернуть чёт не могу найти. Видел такой код

@echo off
for%%A IN (*.*) DO (
for /F "tokens=1* delims=.Lilitch" %%B IN ("%%~nA") DO ren "%%~A" "%%~B%%~xA"
)

.Lilitch - расширение, которое нужно удалить, но не работает даже в папке с переделанным файлом

Данный вирус не только подменяет расширение, но и шифрует сам файл. На данный момент, насколько мне известно, расшифровка если и возможна, то очень сложна.
Из простого - часть файлов можно восстановить из теневой копии из бекапа винды (не путай с файловыми бекапами, по умолчанию в винде оно включено) , например программой ShadowExplorer, если конечно они присутствуют.
Еще расшифровкой занимаются некоторые производители антивирусного обеспечения, но это чаще всего для пользователей с лицензией, да и так что расшифруют
шанс низкий и больше относится уже к довольно неновым вирусам.

З.Ы, если были ценные файлы их конечно можно сохранить и ожидать чуда, что когда-нибудь метод расшифровки по данному вирусу появится.
Также советую прогнать диск каспером, и для полного избавления лучше всего переустановить винду с форматированием, но если кто-то возмется за разбор вируса им могут понадобиться какие-либо файлы, и образцы вируса.
Особо удели внимание файлам в спойлере снизу, они вероятнее всего заражены.

З.Ы.Ы. И да, если нет уверенности в полностью убитом вирусе, - лучше всего работы производить из под другой изолированной системы.



AppData\Local\Temp\tmp4E93.tmp.exe HEUR:Trojan.MSIL.Crypt.gen
AppData\Roaming\Lilitch\EXE\Google Chrome.exe HEUR:Trojan.MSIL.Hesv.gen
AppData\Roaming\Lilitch\EXE\Firefox.exe HEUR:Trojan.MSIL.Hesv.gen
AppData\Roaming\Microsoft\Windows\Cookies\Low\perfmon.exe HEUR:Trojan.MSIL.Crypt.gen
Windows\Installer\21fed2.msi HEUR:Trojan.MSIL.Crypt.gen