alexz 0 Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Бух поймал письмо с файлом и запустил. Часть файлов зашифровалась с расширением da_vinci_code. Бэкапы файлов есть, хотелось бы вылечить систему. На пк стоит KES 10 версия 10.1.0.867(а). После обнаружения шифрования запустили полную проверку, которая остановилась из-за повреждения баз антивируса. Помогите с излечением. Прикрепляю свежие логи Addition.txt FRST.txt CollectionLog-2016.09.14-10.52.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION 2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\Users\Все пользователи\System32 2016-09-13 16:03 - 2016-09-13 16:03 - 00000000 __SHD C:\ProgramData\System32 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README9.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README8.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README7.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README6.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README5.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README4.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README3.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README2.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README10.txt 2016-09-13 16:02 - 2016-09-13 16:02 - 00004190 _____ C:\README1.txt 2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-09-13 15:59 - 2016-09-13 16:57 - 00000000 __SHD C:\ProgramData\Windows C:\Users\Avia\AppData\Local\Temp\siinst.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. На пк стоит KES 10 версия 10.1.0.867(а)На момент заражения была ли включена эта настройка? Цитата Ссылка на сообщение Поделиться на другие сайты
alexz 0 Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за ответ. Настройка включена не была. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Настройка включена не былаПримите к сведению ) Для проверки уязвимых мест: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
alexz 0 Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за совет ) лог прикрепил SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 ------------------------------- [ Windows ] ------------------------------- Service Pack не установлен Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.3.3 Lite — Russian v.9.3.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.52.0.2743.116 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ----------------------------- [ EmailClient ] ----------------------------- The Bat! v5.0.24 Русская Версия v.5.0.24 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Guard.Mail.ru Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
alexz 0 Опубликовано 14 сентября, 2016 Автор Share Опубликовано 14 сентября, 2016 Спасибо за помощь! Машину можно вводить в работу? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 282 Опубликовано 14 сентября, 2016 Share Опубликовано 14 сентября, 2016 Да. Удачи! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.