Перейти к содержанию

da_vinci_code после открытия архива из письма

sosed
 Поделиться

Рекомендуемые сообщения

sosed Новичок

sosed

Опубликовано
Опубликовано

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги Farbar Recovery Scan Tool а также закодированный файл. 

Ссылка на комментарий
Поделиться на другие сайты
sosed Новичок

sosed

Опубликовано
  • Автор
Опубликовано

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги AutoLogger

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2016.09.21-10.38.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Деинсталлируйте:
 

Aff Packages
McAfee Security Scan Plus
MyPlayCityRU Toolbar
Unity Web Player
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1123561945-1060284298-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1392749&CUI=UN19316802221352516
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {66A9ED89-4FB5-4723-BC93-7525734C67D9} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gemknmiehkmnakiphcgjifdfjgnpabeh] - {localappdata}\Google\Chrome\Application\Plugins\gemknmiehkmnakiphcgjifdfjgnpabeh_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [lmicjbmidollmgbnjfecbdakfocmpoie] - {localappdata}\Google\Chrome\Application\Plugins\lmicjbmidollmgbnjfecbdakfocmpoie_0.0.3.crx <not found>
2016-09-19 13:20 - 2016-09-19 13:20 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-09-19 13:19 - 2016-09-19 13:19 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2013-02-06 10:53 - 2013-02-15 11:42 - 0080936 _____ () C:\Documents and Settings\Renat\Application Data\40046978a
2013-02-06 10:53 - 2013-02-15 11:42 - 0000028 _____ () C:\Documents and Settings\Renat\Application Data\400469baa
Task: C:\WINDOWS\Tasks\Chrome Cleanup Tool logs upload retry.job => c:\WINDOWS\Temp\3DE.exe <==== ATTENTION
StandardProfile\AuthorizedApplications: [C:\WINDOWS\Temp\0.6933891410052224.exe] => Enabled:Windows Explorer
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А теперь переходим к ошибкам, которые привели к шифрованию файлов:

 

Renat (S-1-5-21-1123561945-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Renat

 

1. Обычные пользователи не должны иметь прав администратора при работе в системе.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

 

2. Использовать антивирус, который уже не поддерживается производителем это глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней.

 

комп рабочий инфа очень нужна. 

 

3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться.

 

4. Нужно обучать персонал при работе с электронной почтой.

 

5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере. 

 

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Вердикт такой:

 

1. Научиться делать бэкапы

 

2. Обновить антивирус до KES 10

 

3. В техподдержку с лицензией  http://forum.kasperskyclub.ru/index.php?showtopic=48525. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера
      Автор Kaross
      Процессор в последнее время стал загружаться в 100% даже на простом открытии браузера, вентиляторы все время шумят и работают на 100% ,чистил ноутбук ,менял термопасту ничего не помогло ,подскажите что может быть,может вирус?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • qvotop
      Падает скорость интернета при открытии кс2
      Автор qvotop
      Здравствуйте. Есть такая проблема, что, когда открываю кс2, падает скорость интернета. Проблеме уже 4 месяца. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, но он ничего не нашёл. Создавал такую же тему в другом разделе ( 
       ) ,сказали что здесь помогут
    • qvotop
      Падает скорость интернета при открытии кс2
      Автор qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
×
×
  • Создать...