Перейти к содержанию

и снова da_vinci_code


Рекомендуемые сообщения

А виноват ваш администратор, а не сотрудница. Я позже поясню почему.

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
O4 - User Startup: csrss.lnk    ->    C:\ProgramData\Windows\csrss.exe
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk [2016-09-22]
ShortcutTarget: csrss.lnk -> C:\ProgramData\Windows\csrss.exe (No File)
SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q=
CHR Extension: (Chrome Media Router) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-23]
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
2016-09-22 18:11 - 2016-09-22 18:11 - 03932214 _____ C:\Users\1\AppData\Roaming\3DB158663DB15866.bmp
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README9.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README8.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README7.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README6.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README5.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README4.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README3.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README2.txt
2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README10.txt
2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\ProgramData\Windows
Task: {4ACDC57D-F08C-4F15-911D-FFFA4A38B85D} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION
Task: {B46F0FAA-DB28-42CF-88BF-F7093E5FB1F7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

А теперь переходим к ошибкам, которые привели к шифрованию файлов:

 

1 (S-1-5-21-3965000456-1439724423-4003908268-1000 - Administrator - Enabled) => C:\Users\1

 

1. Обычные пользователи не должны иметь прав администратора при работе в системе.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

2. К антивирусу уже базы не выпускают, но находятся люди, которые до сих пор его используют, а потом плачут, что их зашифровали. Использовать антивирус, который уже не поддерживается производителем глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней. Обновляйте антивирус до KES 10. 

 

все файлы оказались зашифрованными.

 

3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться.

 

4. Нужно обучать персонал при работе с электронной почтой.

 

5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dkhilobok
      От dkhilobok
      Снова Камчатка: Долина Гейзеров с обратной стороны.

      Этим летом на Камчатке нам очень много что повезло. В том числе пройти по следам турмарштура №264, которые нас привели в Долину гейзеров.
       
      Обычно туристов водят по Долине по другой стороне ручья, мы же пришли ногами со стороны кальдеры Узон. Соответственно получилось взглянуть на ряд картинок, доступных в основном медведям.
       
      От кордона «Глухой» до Долины примерно 10-12км. Первую половину пути топать по прямой с небольшим набором высоты. Даже немного скучно Меньше, чем полтора часа в пути - и мы на перевале.
       
      В 2007г здесь сошел оползень, который засыпал большое количество гейзеров, перегородил реку дамбой и образовалось озеро.
      Потом река постепенно размыла дамбу, озеро исчезло, а вода продолжает промываться к старому руслу.
       
      Прошло время, засыпанные гейзеры и пульсирующие источники местами пробили нанесённый грунт и получились вот такие симпатичные котлы с подземным кипятком.

      Видео посмотреть на других платформах:
      https://dzen.ru/shorts/673f3f8359f0ad5be841082e?share_to=link
      https://vk.com/clip302262930_456239251
       
      v2 Долина Гейзеров.mp4
    • Svejhiy
      От Svejhiy
      Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
      Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
      Логи прикрепил
      CollectionLog-2024.10.22-18.04.zip
    • Добрячок
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...