Добрый день поймали вирус через почту
Printable View
Добрый день поймали вирус через почту
Уважаемый(ая) [B]Ярослав Поляков[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Смотрю после [url]http://virusinfo.info/showthread.php?t=191969[/url], [url]http://virusinfo.info/showthread.php?t=191716[/url] так и ни чему и не научились.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Добрый день.
На этот раз попались с другой организации.
Вот логи FRST.
[QUOTE]ГлавБух (S-1-5-21-2565993185-3217407134-226470435-1001 - Administrator - Enabled) => C:\Users\ГлавБух
[/QUOTE]
Вот спрашивается на кой черт бухгалтеру права админа? Бардак одним словом с правами.
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk [2016-05-18]
ShortcutTarget: Zaxar Games Browser.lnk -> C:\Program Files\Zaxar\ZaxarLoader.exe (No File)
Startup: C:\Users\ГлавБух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk [2016-10-25]
ShortcutTarget: Desktop Mania.lnk -> C:\Program Files\DesktopMania\DesktopMania.exe (Softi©2011)
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2565993185-3217407134-226470435-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: (No Name) - C:\Users\ГлавБух\AppData\Roaming\Mozilla\Firefox\Profiles\wt69r4op.default\extensions [2016-09-30] [not signed]
2016-10-10 10:46 - 2016-10-10 10:46 - 05292054 _____ C:\Users\ГлавБух\AppData\Roaming\19B183C319B183C3.bmp
2016-10-10 10:14 - 2016-10-10 10:46 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-10 10:14 - 2016-10-10 10:46 - 00000000 __SHD C:\ProgramData\System32
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README9.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README8.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README7.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README6.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README5.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README4.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README3.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README2.txt
2016-10-10 10:14 - 2016-10-10 10:14 - 00004198 _____ C:\README10.txt
2016-10-10 10:13 - 2016-10-10 13:49 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-10 10:13 - 2016-10-10 13:49 - 00000000 __SHD C:\ProgramData\Windows
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]upload.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
Скрипт выполнил.
Лог прикреплен
Пароли меняйте. Данные восстанавливайте из резервных копий.
т.е. если у них нет резервных копий, то шансов нет, я правильно понял?
Угу.