Зашифрованы файлы (da_vinci_code)

14 сентября, 2016

Бух поймал письмо с файлом и запустил. Часть файлов зашифровалась с расширением da_vinci_code. Бэкапы файлов есть, хотелось бы вылечить систему. На пк стоит KES 10 версия 10.1.0.867(а). После обнаружения шифрования запустили полную проверку, которая остановилась из-за повреждения баз антивируса. Помогите с излечением.

Прикрепляю свежие логи

Addition.txt

FRST.txt

CollectionLog-2016.09.14-10.52.zip

14 сентября, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\ProgramData\System32
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README9.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README8.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README7.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README6.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README5.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README4.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README3.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README2.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README10.txt
2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README1.txt
2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Avia\AppData\Local\Temp\siinst.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На пк стоит KES 10 версия 10.1.0.867(а)

На момент заражения была ли включена эта настройка?

14 сентября, 2016

Спасибо за ответ. Настройка включена не была.

Fixlog.txt

14 сентября, 2016

Настройка включена не была

Примите к сведению )

Для проверки уязвимых мест:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

14 сентября, 2016

Спасибо за совет ) лог прикрепил

SecurityCheck.txt

14 сентября, 2016

------------------------------- [ Windows ] -------------------------------

Service Pack не установлен Внимание! Скачать обновления

^Возможно потребуется повторная активация Windows^

Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.3.3 Lite — Russian v.9.3.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.52.0.2743.116 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

----------------------------- [ EmailClient ] -----------------------------

The Bat! v5.0.24 Русская Версия v.5.0.24 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Guard.Mail.ru Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

14 сентября, 2016

Спасибо за помощь! Машину можно вводить в работу?

14 сентября, 2016

Да. Удачи!

Зашифрованы файлы (da_vinci_code)

Рекомендуемые сообщения

alexz

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

alexz

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

alexz

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

alexz

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum