z2rim Опубликовано 28 января, 2017 Share Опубликовано 28 января, 2017 (изменено) День добрый.Прошу помощи:Являюсь обладателем KIS 17.Видимо, вирус проник из почты.Просканировал комп утилитой FRST.Отправляю логи и сообщение из почты, и несколько зашифрованных и оригинальных файлов. Спасибо. Строгое предупреждение от модератора thyrex Не прикрепляйте вредоносов SysWHist.rar 1Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки.xls Башнефть для УВосток-сервис Приложение №1 Описание предмета закупки (2).xls Документ Microsoft Word (4).doc Документ Microsoft Word (4)111.doc 20170125_175648111.rar Addition.txt FRST.txt Изменено 28 января, 2017 пользователем thyrex вредоносный файл Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 28 января, 2017 Share Опубликовано 28 января, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
z2rim Опубликовано 1 февраля, 2017 Автор Share Опубликовано 1 февраля, 2017 Вирус зашифровал файлы офиса и базу 1с. Скорее всего подцепили по почте. Прошу помощь расшифровать файлы. Первый раз сообщение о помощи писал тут https://forum.kasperskyclub.ru/index.php?showtopic=54208 Создал новую тему с учетом замечаний. CollectionLog-2017.02.01-12.24.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 1 февраля, 2017 Share Опубликовано 1 февраля, 2017 Здравствуйте! Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000\...\Policies\Explorer\Run: [QMKtKuaCdmCzkaroWxIMmdDydw] => C:\Windows\system32\RmkEQjRrRcEQGDsUKE.exe HKU\S-1-5-18\...\Policies\Explorer: [Run] "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe" HKU\S-1-5-18\...\Command Processor: "C:\Users\user\AppData\Roaming\Microsoft\Windows\dllcache\label.exe" <===== ATTENTION SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={60D40FB6-5017-4C17-8170-C931BE9818E8}&mid=5f7ca46645cc47d2bad395c31d4570ea-dfe9d6c931879f18d9aa3502526d5379b13bf5de&lang=ru&ds=AVG&coid=avgtbavg&cmpid=0915tb&pr=fr&d=2014-11-13 09:19:05&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-3082556124-2373624529-2564164701-1000 -> No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} - No File CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-07] CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2016-04-27] CHR Extension: (Стартовая — Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-04-28] 2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\Desktop\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY 2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\Users\user\AppData\Roaming\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY 2017-01-27 10:01 - 2017-01-27 10:01 - 00001088 ___RH C:\RU010-91RRZ-AFTOE-HZTOK-TXZKX-KTXKE-RFTHR-ORYYY.KEY 2017-01-27 09:57 - 2017-01-27 10:01 - 09213208 _____ C:\Users\user\AppData\Roaming\3730377854 FirewallRules: [{7979A714-1DF7-4975-92DB-DBE712CEE7A7}] => C:\Program Files\AVG\AVG2014\avgnsx.exe FirewallRules: [{0B4C0655-364B-491E-BD51-85960E60C9C2}] => C:\Program Files\AVG\AVG2014\avgnsx.exe FirewallRules: [{4329A85A-16B5-414C-B947-5F4A13127238}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe FirewallRules: [{2889CFDD-C4BA-4687-B50F-E37636E9C7D0}] => C:\Program Files\AVG\AVG2014\avgdiagex.exe FirewallRules: [{23B0B075-DB58-4509-96D4-9B2837DA96D2}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe FirewallRules: [{9D23C499-7D2E-44FA-A5B1-21DE75322489}] => C:\Program Files\AVG\AVG2014\avgmfapx.exe FirewallRules: [{7A8518DC-887E-4485-847A-FF92FEE3C5F5}] => C:\Program Files\AVG\AVG2014\avgemcx.exe FirewallRules: [{F9857603-FFEF-44A1-8AA5-B6CCC9EEDAA3}] => C:\Program Files\AVG\AVG2014\avgemcx.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти