alexz Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Бух поймал письмо с файлом и запустил. Часть файлов зашифровалась с расширением da_vinci_code. Бэкапы файлов есть, хотелось бы вылечить систему. На пк стоит KES 10 версия 10.1.0.867(а). После обнаружения шифрования запустили полную проверку, которая остановилась из-за повреждения баз антивируса. Помогите с излечением. Прикрепляю свежие логи Addition.txt FRST.txt CollectionLog-2016.09.14-10.52.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION 2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\Users\Все пользователи\System32 2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\ProgramData\System32 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README9.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README8.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README7.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README6.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README5.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README4.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README3.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README2.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README10.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README1.txt 2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\ProgramData\Windows C:\Users\Avia\AppData\Local\Temp\siinst.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. На пк стоит KES 10 версия 10.1.0.867(а)На момент заражения была ли включена эта настройка? Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexz Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за ответ. Настройка включена не была. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Настройка включена не былаПримите к сведению ) Для проверки уязвимых мест: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexz Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за совет ) лог прикрепил SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 ------------------------------- [ Windows ] ------------------------------- Service Pack не установлен Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.3.3 Lite — Russian v.9.3.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.52.0.2743.116 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ----------------------------- [ EmailClient ] ----------------------------- The Bat! v5.0.24 Русская Версия v.5.0.24 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Guard.Mail.ru Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexz Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за помощь! Машину можно вводить в работу? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Да. Удачи! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти