len_kzn 0 Опубликовано 6 марта, 2017 Share Опубликовано 6 марта, 2017 Помогите плиз найти откуда лезет шифровальщик ?отсканил прожкой Farbar Recovery Scan Tool файлы прикрепил. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 6 марта, 2017 Share Опубликовано 6 марта, 2017 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 6 марта, 2017 Автор Share Опубликовано 6 марта, 2017 Прикрепил CollectionLog-2017.03.06-16.52.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 6 марта, 2017 Share Опубликовано 6 марта, 2017 Во время сбора логов ошибки были? Антивирус отключали? CollectionLog собран с системы Win XP, а логи FRST - с сервера. Все логи нужны с того компьютера, на котором произошло заражение. Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 6 марта, 2017 Автор Share Опубликовано 6 марта, 2017 (изменено) Заражание пошло с хрПри старте собирания логов, ругнулся на антивирус, я его отключил и запустил снова. С хр нужны FRST ? Изменено 6 марта, 2017 пользователем len_kzn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 6 марта, 2017 Share Опубликовано 6 марта, 2017 Да. Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 6 марта, 2017 Автор Share Опубликовано 6 марта, 2017 тыц Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 7 марта, 2017 Share Опубликовано 7 марта, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: FF Homepage: C:\Documents and Settings\Yarik\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP" 2017-03-03 09:18 - 2017-03-03 09:18 - 00001824 _____ C:\README-ISHTAR.txt 2017-03-03 09:18 - 2017-03-03 09:18 - 00001824 _____ C:\Documents and Settings\Yarik\Application Data\README-ISHTAR.txt 2017-03-03 09:18 - 2017-03-03 09:18 - 00001072 _____ C:\ISHTAR.DATA 2017-03-03 09:18 - 2017-03-03 09:18 - 00001072 _____ C:\Documents and Settings\Yarik\Application Data\ISHTAR.DATA AlternateDataStreams: C:\Documents and Settings\Yarik\Рабочий стол\TeamViewer5_Setup.exe:com.dropbox.attributes [168] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 9 марта, 2017 Автор Share Опубликовано 9 марта, 2017 (изменено) Систему есть смысл переустанавливать где были зашифрованы файлы? Боюсь повторного шифрования.Файлик прикрепил. Fixlog.txt Изменено 9 марта, 2017 пользователем len_kzn Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 9 марта, 2017 Share Опубликовано 9 марта, 2017 Систему есть смысл переустанавливать где были зашифрованы файлы?Нет необходимости. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 9 марта, 2017 Автор Share Опубликовано 9 марта, 2017 тыц SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 9 марта, 2017 Share Опубликовано 9 марта, 2017 (изменено) ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления TeamViewer 5 v.5.0.8081 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления ^Необязательное обновление.^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.08) - Russian v.11.0.08 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Yandex v.17.1.1.1005 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- Auslogics BoostSpeed 5.0.6.250 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО Изменено 9 марта, 2017 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
len_kzn 0 Опубликовано 9 марта, 2017 Автор Share Опубликовано 9 марта, 2017 (изменено) спасибо большое Изменено 9 марта, 2017 пользователем len_kzn Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти