Перейти к содержанию

da_vinci_code после открытия архива из письма

sosed
 Поделиться

Рекомендуемые сообщения

sosed

sosed

Опубликовано
Опубликовано

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги Farbar Recovery Scan Tool а также закодированный файл. 

Ссылка на комментарий
Поделиться на другие сайты
sosed

sosed

Опубликовано
  • Автор
Опубликовано

добры день. после просмотра архива из почты. на компе зашифрованные файлы. просят 9 т.р. говорят цена будет расти со временем. комп рабочий инфа очень нужна. сам архив удален. так же отключен автозапуск левого ехе, и он же выгружен из диспетчера задач. в приложеном архиве лог файлы от проги AutoLogger

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2016.09.21-10.38.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Деинсталлируйте:
 

Aff Packages
McAfee Security Scan Plus
MyPlayCityRU Toolbar
Unity Web Player
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1123561945-1060284298-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1392749&CUI=UN19316802221352516
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {66A9ED89-4FB5-4723-BC93-7525734C67D9} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\S-1-5-21-1123561945-1060284298-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392749
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gemknmiehkmnakiphcgjifdfjgnpabeh] - {localappdata}\Google\Chrome\Application\Plugins\gemknmiehkmnakiphcgjifdfjgnpabeh_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [kifonanmkilecibbfhmdcoeonomahncd] - {localappdata}\Google\Chrome\Application\Plugins\kifonanmkilecibbfhmdcoeonomahncd_0.0.2.crx <not found>
CHR HKLM\...\Chrome\Extension: [lmicjbmidollmgbnjfecbdakfocmpoie] - {localappdata}\Google\Chrome\Application\Plugins\lmicjbmidollmgbnjfecbdakfocmpoie_0.0.3.crx <not found>
2016-09-19 13:20 - 2016-09-19 13:20 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-09-19 13:19 - 2016-09-19 13:19 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2013-02-06 10:53 - 2013-02-15 11:42 - 0080936 _____ () C:\Documents and Settings\Renat\Application Data\40046978a
2013-02-06 10:53 - 2013-02-15 11:42 - 0000028 _____ () C:\Documents and Settings\Renat\Application Data\400469baa
Task: C:\WINDOWS\Tasks\Chrome Cleanup Tool logs upload retry.job => c:\WINDOWS\Temp\3DE.exe <==== ATTENTION
StandardProfile\AuthorizedApplications: [C:\WINDOWS\Temp\0.6933891410052224.exe] => Enabled:Windows Explorer
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

А теперь переходим к ошибкам, которые привели к шифрованию файлов:

 

Renat (S-1-5-21-1123561945-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Renat

 

1. Обычные пользователи не должны иметь прав администратора при работе в системе.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

 

2. Использовать антивирус, который уже не поддерживается производителем это глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней.

 

комп рабочий инфа очень нужна. 

 

3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться.

 

4. Нужно обучать персонал при работе с электронной почтой.

 

5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере. 

 

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Вердикт такой:

 

1. Научиться делать бэкапы

 

2. Обновить антивирус до KES 10

 

3. В техподдержку с лицензией  http://forum.kasperskyclub.ru/index.php?showtopic=48525. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Rgn
      Какие порты должны быть открыты на МЭ
      Автор Rgn
      Добрый день, коллеги
      Подскажите  пожалуйста, какие порты должны быть открыты на межсетевом экране, чтобы KES получал обновления от KSC
    • KL FC Bot
      Что делать, если пришло фишинговое письмо | Блог Касперского
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Я такого не заказывал: обман с физическими посылками и письмами — брашинг и квишинг | Блог Касперского
      Автор KL FC Bot
      Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали! Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки.
      Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана, описанных ниже.
      Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке.
      Начистить заказы!
      Устоявшийся в английском языке термин brushing scam заимствован из китайского сленга, связанного с электронной торговлей. 刷单 буквально означает «начищать заказы», но в русском языке нужный смысл несет слово «накручивать». Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж. Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом. Те, кто стали мишенью, не несут прямого ущерба.
       
      View the full article
×
×
  • Создать...