ALmazini Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 (изменено) Доброго! Запущен был пользователем файл с вирусом, процесс был остановлен, файл с диска удален, но часть файлов все же зашифрованы. По инструкции сделан лог. Спасибо! CollectionLog-2016.12.14-10.57.zip Изменено 14 декабря, 2016 пользователем ALmazini Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Здравствуйте! В логах видны несколько программ удаленного управления - Radmin, UltraVnc, TeamViewer Пользуетесь всеми? Антивирус Касперского 6.0 для Windows Workstations - устарел и больше не поддерживается. Обновите до KES10. Дополнительно: Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ALmazini Опубликовано 14 декабря, 2016 Автор Share Опубликовано 14 декабря, 2016 Программами удаленного управления пользуюсь постоянно. Касперский 10 версии сильно тормозил систему (с полгода назад ставили), поэтому сделали откат на 6-ку. Возможно заново поставим, посмотрим как с текущей версией будет. Логи прикрепил. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION CHR Extension: (No Name) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-13] CHR Extension: (No Name) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-25] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-11-08] CHR Extension: (No Name) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-22] CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-05] CHR Extension: (Mail.Ru) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-11-08] CHR Extension: (No Name) - C:\Users\almazov\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-05-08] 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README9.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README8.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README7.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README6.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README5.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README4.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README3.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README2.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README10.txt 2016-12-14 09:16 - 2016-12-14 09:16 - 00004154 _____ C:\README1.txt Task: {E3A49DAF-35A3-4608-8AB5-62965BE81920} - System32\Tasks\Phoenix Browser Updater => C:\Users\almazov\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод! Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ALmazini Опубликовано 14 декабря, 2016 Автор Share Опубликовано 14 декабря, 2016 Fixlog.txt Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Создайте запрос на расшифровку. До окончания не удаляйте папку C:\FRST Ссылка на комментарий Поделиться на другие сайты More sharing options...
ALmazini Опубликовано 14 декабря, 2016 Автор Share Опубликовано 14 декабря, 2016 В запросе какие то файлы прилагать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Как и написано - несколько небольших зашифрованных упаковать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ALmazini Опубликовано 14 декабря, 2016 Автор Share Опубликовано 14 декабря, 2016 Создал, номер нужно сообщать? Спасибо за помощь! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Не обязательно. Смените важные пароли. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти