и снова da_vinci_code

[maxpav]

Сотрудница получила письмо на электронную почту и все файлы оказались зашифрованными.

 

CollectionLog-2016.09.23-14.00.zip

[mike 1]

А виноват ваш администратор, а не сотрудница. Я позже поясню почему.

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
O4 - User Startup: csrss.lnk    ->    C:\ProgramData\Windows\csrss.exe

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[maxpav]

Выпонено

Addition.txt

FRST.txt

hijackthis.log

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}

HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}

Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk [2016-09-22]

ShortcutTarget: csrss.lnk -> C:\ProgramData\Windows\csrss.exe (No File)

SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=

CHR Extension: (Chrome Media Router) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-23]

CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

2016-09-22 18:11 - 2016-09-22 18:11 - 03932214 _____ C:\Users\1\AppData\Roaming\3DB158663DB15866.bmp

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README9.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README8.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README7.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README6.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README5.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README4.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README3.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README2.txt

2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README10.txt

2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\ProgramData\Windows

Task: {4ACDC57D-F08C-4F15-911D-FFFA4A38B85D} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION

Task: {B46F0FAA-DB28-42CF-88BF-F7093E5FB1F7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[maxpav]

сделал

Fixlog.txt

[mike 1]

А теперь переходим к ошибкам, которые привели к шифрованию файлов:

 

1 (S-1-5-21-3965000456-1439724423-4003908268-1000 - Administrator - Enabled) => C:\Users\1

 

1. Обычные пользователи не должны иметь прав администратора при работе в системе.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

2. К антивирусу уже базы не выпускают, но находятся люди, которые до сих пор его используют, а потом плачут, что их зашифровали. Использовать антивирус, который уже не поддерживается производителем глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней. Обновляйте антивирус до KES 10. 

 

все файлы оказались зашифрованными.

 

3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться.

 

4. Нужно обучать персонал при работе с электронной почтой.

 

5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере.