Html из архива в почте, файлы не открываются.

[bukwar]

Добрый день!

Юзер открыл html фаил из zip архива, фаилы док, эксель, пдф, zip ,больше не открываются, ПО пишет что файлы повреждены. Расширение правильное, осталось без изменения

На ПК пользовтаелей KES + KSC на сервере. Что интересно, на всех ПК антивирус пишет что базы устарели, хотя по факту - сегодняшние. 

Пример не открывающегося фаила во вложение.

azu-m485.pdf

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

 

В центре управления включена ли эта настройка?

[bukwar]

Порядок прочитал, зараженный ПК на удаленке, после того как поймал вирус, сразу отрубили от сети. Ждем когда системник привезут к нам. Как привезут, сразу сделаю всё как положено.

Мониторинг системы отключен т.к сидит отдел инженеров, думал разум победит не открывать вложения в левых письмах. Ошибся)

Есть сам архив с вложением внутри. Есть смысл сюда вложить? поможет понять как вылечить фаилы? 

[Sandor]

Нет, не поможет. Если хотите, отправьте по форме.

[bukwar]

Товарищи сами запустили антивирус BackDoor.Siggen.60255 cureit нашел

Изменено 18 января, 2017 пользователем bukwar

[bukwar]

Снял log

CollectionLog-2017.01.25-14.51.zip

[Sandor]

Настройка прокси Ваша?

ProxyServer = vserver32.m38.tashir.com:8080

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[bukwar]

Прокся наша прошлая настройка. Сейчас работают через шлюз напрямую.

Скрипт выполнил.

Отчет во вложение.

Addition.txt

FRST.txt

Shortcut.txt

Изменено 26 января, 2017 пользователем bukwar

[Sandor]

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
FF NewTab: Mozilla\Firefox\Profiles\0yvzkrd3.default -> yafd:tabs
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-27]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-28]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-27]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-29]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]
2017-01-17 10:41 - 2017-01-17 10:41 - 00001088 ___RH C:\Users\musalov\Desktop\RUB36-39XEA-GZTAK-FHRTR-KOHHT-XXKTK-HZEGT-EZXEY.KEY
2017-01-17 10:41 - 2017-01-17 10:41 - 00001088 ___RH C:\Users\musalov\AppData\Roaming\RUB36-39XEA-GZTAK-FHRTR-KOHHT-XXKTK-HZEGT-EZXEY.KEY
2017-01-17 10:30 - 2017-01-17 10:41 - 47562712 _____ C:\Users\musalov\AppData\Roaming\3201664835
Task: {6D39C576-34AB-4EA6-87A0-6F60899A4A89} - \MailRuUpdateTask -> No File <==== ATTENTION
Task: {DDB3B591-0771-4F7E-9A63-F3814AC8805D} - System32\Tasks\{8C967478-132C-43E7-9E99-E174FB02606E} => c:\users\Администратор\appdata\local\amigo\application\amigo.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[bukwar]

готово

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[bukwar]

Лицензия есть. Спасибо.

Комп здоров?

[Sandor]

Комп здоров?

Да, можно проверить уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[bukwar]

есть!

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18376 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.3.2.35 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Acrobat 5.0 v.5.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC.

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 47.0.1 (x86 ru) v.47.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.