Bonifaciy 0 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 (изменено) Добрый день. Сегодня на одном из компьютеров сотрудница открыла "вложение" в письме, что привело к заражению и шифрованию всех документов на компьютере. На самом деле "вложение" оказалось ссылкой "kustomcruizers.com/mail.scr" Прикрепляю отчеты AutoLogger и Farbar Recovery Scan Tool. Также прикрепляю архив с вирусом. Очень надеюсь на помощь. Addition.txt CollectionLog-2016.08.31-15.00.zip FRST.txt Изменено 31 августа, 2016 пользователем Sandor Не прикрепляйте то, что не просили! Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Восстановление системы включите. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File 2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp 2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ 2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика? Цитата Ссылка на сообщение Поделиться на другие сайты
Bonifaciy 0 Опубликовано 31 августа, 2016 Автор Share Опубликовано 31 августа, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Восстановление системы включите. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File 2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp 2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ 2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика? На момент заражения, защита от шифровальщика, скорее всего, была выключена, т.к. слетела лицензия KES. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Бусинка 0 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 У меня такая же проблема,вы можете мне помочь тоже? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 @Бусинка, внимательно прочтите Порядок оформления запроса о помощи и создайте свою тему. защита от шифровальщика, скорее всего, была выключенаПечально. При наличии лицензии создайте запрос на расшифровку. Цитата Ссылка на сообщение Поделиться на другие сайты
Бусинка 0 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 Я там ничего не поняла,но это и не актуально,вы же помогаете только тем.у кого есть лицензия,я правильно поняла? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 я правильно поняла?Нет, всем. Цитата Ссылка на сообщение Поделиться на другие сайты
Бусинка 0 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 я правильно поняла?Нет, всем. Вот у вас в запросе на расшифровку написано:"Уважаемые пользователи! Напоминаем Вам, что с 9 ноября 2015 года запросы на расшифровку файлов после действий троянцев-шифровальщиков создаются исключительно через личный кабинет, или через аккаунт Kaspersky Company. Помните, что для создания запроса на расшифровку файлов в личном кабинете нужно прикрепить действующий коммерческий код активации на любой из продуктов Лаборатории Касперского. Ниже приведена последовательность действий того, как правильно создать запрос на расшифровку файлов:" Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 (изменено) Вы не то читаете, прочтите еще раз Порядок оформления запроса о помощи (особенно п.3). А то, что Вы пишете в чужой теме - нарушение правил. Изменено 31 августа, 2016 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Bonifaciy 0 Опубликовано 31 августа, 2016 Автор Share Опубликовано 31 августа, 2016 Т.е. мне дальше искать решение проблемы в корпоративном разделе? Зарегистрировался, ключ выслал. Но ответное письмо что-то не торопится. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 31 августа, 2016 Share Опубликовано 31 августа, 2016 Наберитесь терпения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.