Aleksey2501 0 Опубликовано 2 февраля, 2017 Share Опубликовано 2 февраля, 2017 (изменено) Добрый день! Сегодня ко мне обратились за помощью - столкнулись с вирусом-шифровальщиком. Как назло, пользователь забыл ввести код активации в KIS. В результате, зашифрованы (случайное имя, расширение .no_more_ransom, медиафайлы - расширение .tyson) все офисные документы и архивы. Базы, не открытые в момент катастрофы, по-моему, тоже уничтожены. Диски засыпаны текстовыми файлами ридми. Антивирус после активации первым делом уничтожил процесс csrss.exe в каталоге ProgramData\windows. Откуда запущен вирус, вложение из письма, сайт или что-то ещё.. сказать пока затрудняются. upd. нашел письмо, по ссылке из которого загружен вирус. Замаскировано под предупреждение из ФНС, вложений нет, ссылки на "архив с документами" якобы с nalog.ru, но ведут на сторонние сайты. README1.txt CollectionLog-2017.02.02-12.12.zip Изменено 2 февраля, 2017 пользователем Aleksey2501 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 2 февраля, 2017 Share Опубликовано 2 февраля, 2017 Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 2 февраля, 2017 Автор Share Опубликовано 2 февраля, 2017 просканировал Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 2 февраля, 2017 Share Опубликовано 2 февраля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-1917618576-28395371-2140963883-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION 2017-02-02 10:42 - 2017-02-02 10:42 - 05292054 _____ C:\Users\SP\AppData\Roaming\C78F9FB7C78F9FB7.bmp 2017-02-02 09:37 - 2017-02-02 11:03 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-02-02 09:37 - 2017-02-02 11:03 - 00000000 __SHD C:\ProgramData\Windows 2013-01-29 05:20 - 2013-01-29 05:20 - 0248008 _____ (Ask.com) C:\Users\SP\AppData\Local\Temp\AskSLib.dll Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 2 февраля, 2017 Автор Share Опубликовано 2 февраля, 2017 готово Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 2 февраля, 2017 Share Опубликовано 2 февраля, 2017 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти