[COLOR=#333333]Добрый день вирус зашифровал файлы по расшареным папкам , файлы имеют имя [/COLOR][email protected] 1.4.0.0.id-3968456798-15.01.2018 [email]10@[email protected][/email]-Audi Q7 manual.pdf помогите востановить инфу.
Printable View
[COLOR=#333333]Добрый день вирус зашифровал файлы по расшареным папкам , файлы имеют имя [/COLOR][email protected] 1.4.0.0.id-3968456798-15.01.2018 [email]10@[email protected][/email]-Audi Q7 manual.pdf помогите востановить инфу.
Уважаемый(ая) [B]Alexforeve[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
У меня к Вашему администратору ряд вопросов имеется. Можно его позвать на форум?
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-01-15] ()
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-01-15] ()
Startup: C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-01-15] ()
2017-07-12 14:53 - 2017-07-12 14:53 - 000009728 _____ () C:\Users\Ира\AppData\Local\Temp\bassmod.dll
virustotal: C:\Users\Ира\AppData\Local\Temp\комерческое предложение.exe
2018-01-15 10:17 - 2018-01-15 10:17 - 000407040 _____ () C:\Users\Ира\AppData\Local\Temp\комерческое предложение.exe
MSCONFIG\startupreg: 3955469 => 3955469
MSCONFIG\startupreg: 3968456798 => C:\Users\8E9B~1\AppData\Local\Temp\комерческое предложение.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]Дата_время.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
загрузил
В папку с утилитой FRST сохраните файл и нажмите кнопку Fix.
Есть
Теперь разберем Ваши ошибки, которые привели к шифрованию файлов:
[QUOTE]Ира (S-1-5-21-2145517674-1472005732-4012182703-1000 - Administrator - Enabled) => C:\Users\Ира
[/QUOTE]
1. Почему у Вас обычные пользователи работают с правами Администратора - это косяк ИТ службы.
[QUOTE]
комерческое предложение.exe
[/QUOTE]
2. Что мешало на почтовом сервере заблокировать политиками потенциально опасные типы файлов непонятно - это тоже косяк ИТ службы. + Следует провести с девушкой базовый инструктаж по азам компьютерной безопасности, иначе так и будет все подряд запускать.
3. Я не вижу чтобы был установлен антивирус на этом компьютере.
4. Восстановление файлов возможно только из резервных копий, если их нет, то я Вам не завидую. В этом случае стоит задуматься над резервным копированием ценной информации.