szn 0 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 Добрый день. По всей вероятности открыто письмо с вложенным архивом. После открытия на компьютере пользователя и в сетевые на сервере, папки с атрибутом скрытые, появились ярлыки папок. Поменялась кодировка doc, docx, xls, pdf, ipg. Система работоспособна. Что-то можно сделать для восстановления и открытия документов.Спасибо! FRST.rar CollectionLog-2017.01.19-08.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Лена\AppData\Roaming\Identities\Yghmhk.exe',''); QuarantineFile('C:\Users\1288~1\AppData\Local\Temp\Adobe\Reader_sl.exe', ''); DeleteFile('C:\Users\Лена\AppData\Roaming\Identities\Yghmhk.exe','32'); DeleteFile('C:\Users\1288~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1876518041-2531887060-777165746-1001\Software\Microsoft\Windows\CurrentVersion\Run','Yghmhk'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1876518041-2531887060-777165746-1001\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
szn 0 Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 Здравствуйте! Сделано. KLAN-5682394873 Повторные логи. CollectionLog-2017.01.20-08.12.zip FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2017-01-18 12:21 - 2017-01-18 12:21 - 03766112 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.LST 2017-01-18 12:21 - 2017-01-18 12:21 - 00014492 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.HTML 2017-01-18 11:34 - 2017-01-18 12:42 - 05103192 _____ C:\Users\Лена\AppData\Roaming\3701697603 2017-01-18 11:34 - 2017-01-18 11:34 - 00001088 ____R C:\Users\Лена\AppData\Roaming\RU3F8-75XGF-ZHTKX-ATZTX-KKTXZ-HXETH-OKYYY.KEY C:\Users\Лена\AppData\Local\Temp\8b66d8601ffbf4e28.exe C:\Users\Лена\AppData\Local\Temp\e3676b5e-79ac-9f88-aa02-102ce3382fba.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Антивирус Касперского 6.0 для Windows Workstations - версия устаревшая и не поддерживается. Обновите до KES10 Цитата Ссылка на сообщение Поделиться на другие сайты
szn 0 Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 (изменено) Выполнено. Fixlog.txt Изменено 20 января, 2017 пользователем szn Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 Создайте запрос на расшифровку. Папку C:\FRST пока не удаляйте. Цитата Ссылка на сообщение Поделиться на другие сайты
szn 0 Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 Спасибо! Запрос направлен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.