Перейти к содержанию

Рекомендуемые сообщения

Собственно сегодня один из компьютеров сегодня встретил чистым рабочим столом, почти чистым. На рабочем столе остались корзина,ярлык оперы и еще одной программы.
При этом, если зайти с\пользователи\пользователь\рабочий стол - все что было на рабочем столе, там и есть.
Проблем с открытием файлов пока не обнаружено.
В пуске пропала папка "стандартные" -там где блокнот и т.п.
В настройках браузера пропали прокси.
Пропали подключения к сетевым дискам.
В корневом папке дисков С и Д обнаружились файлы vault и еще кое где.
Вирустотал показывает такое
https://www.virustotal.com/ru/file/f4ab3224...sis/1494918613/

Касперски с обновленными базами не видит опасности

 

Эти 2 товарища ничего не нашли

CollectionLog-2017.05.16-11.15.zip

Ссылка на сообщение
Поделиться на другие сайты

Когда сначала комп в обычном режиме включал, то такое ощущение было, что эта хрень продолжает плодиться и гадить.

Не могу с 100% уверенностью сказать что так и было, но мне показалось, что в одной папке сначала файлов vaul небыло, а когда туда повторно зашел они появились.

Поэтому решил лучше в безопасном.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    S2 googleupdate; C:\Windows\cssyIHKJdxDnIgF.exe [X]
    2017-05-16 08:04 - 2017-05-16 08:04 - 00000000 ____D C:\Users\Default\AppData\Local\DriverToolkit
    2017-05-16 08:04 - 2017-05-16 08:04 - 00000000 ____D C:\Users\Default User\AppData\Local\DriverToolkit
    2017-05-16 08:01 - 2017-05-16 08:01 - 00000000 ____D C:\Users\TEMP\AppData\Local\DriverToolkit
    Task: {62613515-7226-41FF-A13F-DEE8A93064EB} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe [2015-07-01] (Megaify Software Co., Ltd.)
    Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Активного вредоноса нет. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Ну у нас зашифрованых файлов я пока не обнаружил, но эти файлы  я через личный кабинет касперски отправил в запросе.

А на карантин их отправить можно?

Ссылка на сообщение
Поделиться на другие сайты

зашифрованых файлов я пока не обнаружил

Тогда и запрос не нужен :)

Это текстовые файлы и вреда они принести не могут. Можете просто удалить.

 

Проверьте включена ли эта настройка.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Просто тогда не понятно что случилось с рабочим столом и другими папками.

Вот что выяснил...

Все что было в рабочем столе,документах, изображениях и т.п. но никуда не пропало, если зайти C:\Users\Пользователь\ то оно все там есть

А рабочий стол действующий, документы и и д.р ссылается на C:/Windows/system32/config/systemprofile/

Так же еще почта оутлук 10 слетел профиль пользователя.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...