da_vinci_code после открытия архива из письма

[sosed]

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги Farbar Recovery Scan Tool а также закодированный файл. 

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[sosed]

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги AutoLogger

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2016.09.21-10.38.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[sosed]

выкладываю логи от Farbar Recovery Scan Tool.

з.rar

[mike 1]

Логи прикрепите в виде текстовых файлов.

[sosed]

изиеняюсь

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

Деинсталлируйте:

 

Aff Packages
McAfee Security Scan Plus
MyPlayCityRU Toolbar
Unity Web Player

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1123561945-1060284298-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1392749&CUI=UN19316802221352516
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {66A9ED89-4FB5-4723-BC93-7525734C67D9} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gemknmiehkmnakiphcgjifdfjgnpabeh] - {localappdata}\Google\Chrome\Application\Plugins\gemknmiehkmnakiphcgjifdfjgnpabeh_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [lmicjbmidollmgbnjfecbdakfocmpoie] - {localappdata}\Google\Chrome\Application\Plugins\lmicjbmidollmgbnjfecbdakfocmpoie_0.0.3.crx <not found>
2016-09-19 13:20 - 2016-09-19 13:20 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-09-19 13:19 - 2016-09-19 13:19 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2013-02-06 10:53 - 2013-02-15 11:42 - 0080936 _____ () C:\Documents and Settings\Renat\Application Data\40046978a
2013-02-06 10:53 - 2013-02-15 11:42 - 0000028 _____ () C:\Documents and Settings\Renat\Application Data\400469baa
Task: C:\WINDOWS\Tasks\Chrome Cleanup Tool logs upload retry.job => c:\WINDOWS\Temp\3DE.exe <==== ATTENTION
StandardProfile\AuthorizedApplications: [C:\WINDOWS\Temp\0.6933891410052224.exe] => Enabled:Windows Explorer

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[sosed]

высылаю Fixlog. zip не был создан. также попались файлы с расширением (magic_software_syndicate)

Fixlog.txt

[mike 1]

А теперь переходим к ошибкам, которые привели к шифрованию файлов:

 

Renat (S-1-5-21-1123561945-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Renat

 

1. Обычные пользователи не должны иметь прав администратора при работе в системе.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

 

2. Использовать антивирус, который уже не поддерживается производителем это глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней.

 

комп рабочий инфа очень нужна. 

 

3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться.

 

4. Нужно обучать персонал при работе с электронной почтой.

 

5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере. 

 

 

 

 

 

[sosed]

ну так вердикт какой. можно востановить инфу али нет.

[mike 1]

Вердикт такой:

 

1. Научиться делать бэкапы

 

2. Обновить антивирус до KES 10

 

3. В техподдержку с лицензией  http://forum.kasperskyclub.ru/index.php?showtopic=48525.