maxpav 0 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 Сотрудница получила письмо на электронную почту и все файлы оказались зашифрованными. CollectionLog-2016.09.23-14.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 А виноват ваш администратор, а не сотрудница. Я позже поясню почему. Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms} O4 - User Startup: csrss.lnk -> C:\ProgramData\Windows\csrss.exe Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
maxpav 0 Опубликовано 23 сентября, 2016 Автор Share Опубликовано 23 сентября, 2016 Выпонено Addition.txt FRST.txt hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms} HKU\S-1-5-21-3965000456-1439724423-4003908268-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms} Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk [2016-09-22] ShortcutTarget: csrss.lnk -> C:\ProgramData\Windows\csrss.exe (No File) SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q={searchTerms} SearchScopes: HKU\S-1-5-21-3965000456-1439724423-4003908268-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=aab6eed2fdbb9868151bd5c2f046fd1d&q= CHR Extension: (Chrome Media Router) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-23] CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx 2016-09-22 18:11 - 2016-09-22 18:11 - 03932214 _____ C:\Users\1\AppData\Roaming\3DB158663DB15866.bmp 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README9.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README8.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README7.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README6.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README5.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README4.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README3.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README2.txt 2016-09-22 18:11 - 2016-09-22 18:11 - 00004178 _____ C:\Users\1\Desktop\README10.txt 2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-09-22 16:14 - 2016-09-23 07:55 - 00000000 __SHD C:\ProgramData\Windows Task: {4ACDC57D-F08C-4F15-911D-FFFA4A38B85D} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION Task: {B46F0FAA-DB28-42CF-88BF-F7093E5FB1F7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
maxpav 0 Опубликовано 23 сентября, 2016 Автор Share Опубликовано 23 сентября, 2016 сделал Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 А теперь переходим к ошибкам, которые привели к шифрованию файлов: 1 (S-1-5-21-3965000456-1439724423-4003908268-1000 - Administrator - Enabled) => C:\Users\1 1. Обычные пользователи не должны иметь прав администратора при работе в системе. Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского) 2. К антивирусу уже базы не выпускают, но находятся люди, которые до сих пор его используют, а потом плачут, что их зашифровали. Использовать антивирус, который уже не поддерживается производителем глупо. Нужно использовать актуальное антивирусное ПО и тогда проблем будет меньше, а защита будет куда эффективней. Обновляйте антивирус до KES 10. все файлы оказались зашифрованными. 3. Не такая уж и важная у вас информация раз не делаете резервных копий. Важная информация должна бэкапиться. 4. Нужно обучать персонал при работе с электронной почтой. 5. Настройте SRP политики, чтобы офисный планктон не мог запускать исполняемые файлы у себя на компьютере. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.