Improg 0 Опубликовано 17 ноября, 2016 Share Опубликовано 17 ноября, 2016 Вирус создал кучу файлов с раширением da_vinchi_code. Доработать не успел, был удален через диспетчер задач, а затем удален файл вируса в C:\Users\All Users\Application Data\windows. Естественно, бекапов никто не делал. Диск C: не пострадал, вирус начал с логического диска D:, на котором 90 Гб рабочей информации, преимущественно - .doc файлы. Пострадала какая-то часть. Установленная тут же пробная копия eset nod32 вирус не видит в упор, даже если файл вируса записывать в каталог в единичном экземпляре и проверять. CurIt похоже тоже его не нашел. Если надо, могу файл вируса закинуть отдельно архивом. Есть ли возможность расшифровать файлы? При поиске eset нашел кучу файлов в C:\Users\All Users\Microsoft\Crypto\RSA\MachineKeys к которым нет доступа. Может оно и есть, есть, чем расшифровывать? CollectionLog-2016.11.17-14.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 ноября, 2016 Share Опубликовано 17 ноября, 2016 Скрипт из письма упакуйте в архив с паролем virus и отправьте мне на почту. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 17 ноября, 2016 Автор Share Опубликовано 17 ноября, 2016 Вирус в почту закинул. По дальнейшему исследованию компьютера - откладывается до вечера, так как произошло это на компьютере у начальника, он уже работает дальше. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 ноября, 2016 Share Опубликовано 17 ноября, 2016 Я скрипт просил прислать на почту. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 17 ноября, 2016 Автор Share Опубликовано 17 ноября, 2016 Тогда что есть скрипт? Выполнено. Заразы очищать в advcleaner? AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 ноября, 2016 Share Опубликовано 17 ноября, 2016 Выполните этот http://safezone.cc/threads/kak-polnostju-ustranit-problemu-svjazannuju-s-nastrojkami-avtomaticheskogo-obnovlenija.9188/ скрипт. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 2 декабря, 2016 Автор Share Опубликовано 2 декабря, 2016 Извините за задержку, только сейчас получил доступ к этому компьютеру. Расшифровка файлов после давинчи по прежнему актуальна. AdwCleanerC0.txt Correct_wuauserv&BITS.log Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 2 декабря, 2016 Автор Share Опубликовано 2 декабря, 2016 Сделано. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CloseProcesses: S2 Update lookinglink; "C:\Program Files (x86)\lookinglink\updatelookinglink.exe" [X] 2016-11-17 10:49 - 2016-11-17 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-11-17 10:49 - 2016-11-17 14:23 - 00000000 __SHD C:\ProgramData\Windows Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 2 декабря, 2016 Автор Share Опубликовано 2 декабря, 2016 Архивов после перезагрузки на рабочем столе не обнаружено. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 Восстанавливайте что сможете http://virusinfo.info/showthread.php?t=156188&p=1252582&viewfull=1#post1252582 AV: ESET NOD32 Antivirus 10.0.369.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего вендора. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 2 декабря, 2016 Автор Share Опубликовано 2 декабря, 2016 Резервное копирование на логическом диске D не было включено. Эти способы расшифровки, как и поиск удаленных файлов, я пробовал до обращения на этот форум. Кроме того, теперь начальник пожаловался, что отказала почта. Включил комп посмотреть - он не грузится. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 Кроме того, теперь начальник пожаловался, что отказала почта. Включил комп посмотреть - он не грузится.Судя по сообщению №11 проблем с загрузкой у вас не было после выполнения скрипта. Резервное копирование на логическом диске D не было включено. Эти способы расшифровки, как и поиск удаленных файлов, я пробовал до обращения на этот форум. За расшифровкой обращайтесь в техподдержку своего вендора. Цитата Ссылка на сообщение Поделиться на другие сайты
Improg 0 Опубликовано 5 декабря, 2016 Автор Share Опубликовано 5 декабря, 2016 Кто есть вендор? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.