Вчера бухгалтер по недоразумению открыла архив, полученный по почте, и запустила .exe файл. В итоге все сетевые шары оказались под воздействием вируса. Файлы с расшиерением .jpg, .pdf, .doc, .xls и т.п. оказались зашифрованными. К названию файла добавилось [email protected].
Последний раз редактировалось Aleksandra; 10.06.2015 в 13:38.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alex44, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
AutoConfigURL: [HKLM] => https://estanos.com/inform/record.rgb
SearchScopes: HKLM -> {A0BA890B-6FBC-4AE0-A2D4-2A8BEBA1A830} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyC0F0ByByE0CtA0D0A0D0AtN0D0Tzu0CtAtCtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=84361672
SearchScopes: HKU\S-1-5-21-2178296420-1918314016-4269872604-1005 -> yandex.ru-113828 URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyC0F0ByByE0CtA0D0A0D0AtN0D0Tzu0CtAtCtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=84361672
BHO: No Name -> {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2178296420-1918314016-4269872604-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
CHR Extension: (No Name) - C:\Documents and Settings\бух\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2012-11-06]
CHR HKU\S-1-5-21-2178296420-1918314016-4269872604-1005\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\DOCUME~1\1AFD~1\LOCALS~1\APPLIC~1\funmoods.crx [2012-11-06]
2012-06-28 09:42 - 2012-07-02 15:47 - 0111405 ____C () C:\Documents and Settings\бух\Application Data\A7512465a
2012-06-28 09:42 - 2012-07-02 15:47 - 0000063 ____C () C:\Documents and Settings\бух\Application Data\a75124a7a
2012-11-06 10:33 - 2012-11-06 10:33 - 0031465 ____C () C:\Documents and Settings\бух\Local Settings\Application Data\funmoods.crx
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\1AFD~1\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\p0j99p.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree]
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.