da_vinci_code - Help!

[AndyGandy]

Здравствуйте!

 

Сегодня бухгалтер открыла "Финотдел". Получили зашифрованные файлы.

Сам вирус удалось выгнать, система работает, но часть файлов в зашифрованном виде.

 

Что сделано:

 

1. Получил жалобу от бухгалтера на наличие крокозябликов в названиях файлов.

2. Обнаружил в Диспетчере задач сторонние процессы. Выгрузил их, нашёл источники-файлы с неправильным размещением, а именно "csrss.exe" в "Program Data", удалять пока не стал, переименовал в *.bak

3. Ознакомился с Правилами получения помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

4. Провёл проверку с помощью Kaspersky Virus Removal Tool. Обнаружил 5 объектов. Приложил скрин. Ничего опасного уже нет.

5. Запускал скан и очистку adwcleaner. Проверил, что в нём выбрано, оставил выбранным всё. Очистил. Перезагрузился.

6. Добрался до Farbar. Выкладываю логи.

7. Автологгер наконец-то выкладываю. Теперь логи Farbar заново надо сделать?

 

 

Помогите пожалуйста!

 

P.S. Извините за название темы - уже была "da_vinci_code", поэтому, чтоб не возникало путаницы добавил "Help!".

Addition.txt

FRST.txt

CollectionLog-2016.05.24-18.33.zip

Изменено 24 мая, 2016 пользователем AndyGandy

[Elly]

 

 

выполнил инструкции, как в них

А надо как в правилах.

[AndyGandy]

Спасибо! Читаю.

Изменено 24 мая, 2016 пользователем AndyGandy

[mike 1]

Ждем.

[AndyGandy]

Приложил все логи в шапку.

Изменено 24 мая, 2016 пользователем AndyGandy

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

Toolbar: HKU\S-1-5-21-3660637609-4013174128-3870449336-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

2016-05-21 12:45 - 2016-05-21 17:26 - 00000000 __SHD C:\ProgramData\Windows

Task: {343DEA13-ED59-49A0-84B2-44CB0066543F} - \{46435D4F-9030-4D92-B816-1A1ABA61BAE9} -> No File <==== ATTENTION

Task: {6EDE28CA-BEAF-40D9-A3F8-E927740D8D18} - \At1 -> No File <==== ATTENTION

Task: {75DD5DCD-E4AE-4282-B46F-94CAA7ADD7E4} - \Microsoft\Windows Defender\MP Scheduled Scan -> No File <==== ATTENTION

Task: {7FEC5994-32C0-48F7-A31C-A319FFA071E4} - \{A03DA1F4-F55E-403E-84FB-B6FD1AD11D89} -> No File <==== ATTENTION

Task: {858BD5FB-61C3-4D83-8392-B9855BE4DF1D} - \Microsoft\Windows\Media Center\mcupdate -> No File <==== ATTENTION

Task: {C20029A5-1E96-4AA4-8D0C-C3186073F58F} - \User_Feed_Synchronization-{4B55429F-1E0F-48EE-BA69-81AFB020A82B} -> No File <==== ATTENTION

Task: {EBD4BF2A-0B53-4E27-97B9-7A9D3ABD4A64} - \At2 -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[AndyGandy]

Сделано.

Fixlog.txt

Изменено 25 мая, 2016 пользователем AndyGandy

[mike 1]

С расшифровкой не поможем.

[AndyGandy]

Здравствуйте, mike 1.

Можно узнать, по какой причине?

[mike 1]

В техподдержку вас отправить нельзя по причине того, что у вас другой антивирус стоит, а на форуме мы помочь не можем. 

[AndyGandy]

Что Вы просили поставить, то я и установил. Антивирусов у меня нет вообще. Просто если Вы помогаете только пользователям с антивирусом от Касперского, сразу бы и спрашивали, есть ли лицензия. Проверить компьютер на вирусы и почистить реестр и планировщик задач я мог самостоятельно.

Зачем я 2 дня выполняю какие-то не нужные никому действия и отсылаю информацию о моём компьютере вам?

Можно прояснить ситуацию?

[mike 1]

 

 

Антивирусов у меня нет вообще. Просто если Вы помогаете только пользователям с антивирусом от Касперского, сразу бы и спрашивали

На форуме помогают всем, но техподдержка будет оказывать преимущественно своим пользователям, а не всем желающим. Поэтому спасение утопающих - дело рук самих утопающих.  

 

 

 

Зачем я 2 дня выполняю какие-то не нужные никому действия и отсылаю информацию о моём компьютере вам?

Не хотите обращайтесь сразу в техподдержку, если конечно есть лицензия на антивирус. А в этом разделе в приоритете лечение, а потом (если она возможна) расшифровка.

Изменено 26 мая, 2016 пользователем mike 1

[AndyGandy]

Понятно. Спасибо!