[Sandor]

Здравствуйте!

Видны следы адвари.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Update for Codec Package WebConnect 3.0.0 Yahoo! Search Менеджер браузеров

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1056430722-1934517912-409687543-1000 -> {B0FE0BDB-778E-4599-B990-1E987293A04F} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=10
FF Keyword.URL: hxxp://rts.dsrlte.com/?q=
FF NewTab: hxxp://rts.dsrlte.com/?m=tab&affID=na
FF SearchPlugin: C:\Users\1ab\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\dsrlte.xml [2015-01-18]
FF SearchPlugin: C:\Users\1ab\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\keepmysearch.xml [2014-06-27]
2015-10-05 13:04 - 2009-07-14 07:45 - 00022096 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-10-05 13:04 - 2009-07-14 07:45 - 00022096 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-10-05 13:02 - 2014-02-12 23:02 - 00000284 _____ C:\Windows\Tasks\Digital Sites.job
2015-10-05 13:02 - 2013-09-09 14:59 - 00000278 _____ C:\Windows\Tasks\DSite.job
C:\Users\1ab\AppData\Local\Temp\downloader.exe
C:\Users\1ab\AppData\Local\Temp\yupdate-exec-bm.exe
C:\Users\1ab\AppData\Local\Temp\yupdate-exec-praetorian.exe
C:\Users\1ab\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\1ab\AppData\Local\Temp\_is5D8A.exe
C:\Users\1ab\AppData\Local\Temp\Setup-bm.exe
Task: {2E803CD5-766F-4EAE-93C6-9E52317AEF31} - System32\Tasks\DSite => C:\Users\1ab\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {688C04A3-F1F3-4532-BF33-BAF9FDAEE45E} - System32\Tasks\Yahoo! Search Updater => C:\Users\1ab\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrsetup.exe <==== ATTENTION
Task: {DD3AB635-A7CF-47E3-8899-12A065A0034A} - System32\Tasks\Digital Sites => C:\Users\1ab\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {FF251B39-A60D-4D18-8471-724B860F35C8} - System32\Tasks\Yahoo! Search => C:\Users\1ab\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe <==== ATTENTION
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\1ab\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\DSite.job => C:\Users\1ab\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Шифровщик самоуничтожился, поэтому смело восстанавливайте.

[Ыть]

Цитата Sandor:

Шифровщик самоуничтожился, поэтому смело восстанавливайте. »

т.е. данные файлы уже никак не расшифровать?

удалось узнать, что пользователь открыл в почте mail.ru вложенный docx файл.
тема письма называлась "Проверьте данные во вложенном файле".
в папке спам нашёл ещё 5 писем похожего содержания. При этом mail написал что вирусов нет, проверено касперским...

[Sandor]

Цитата Ыть:

т.е. данные файлы уже никак не расшифровать? »

Вы же писали, что

Цитата Ыть:

есть резервная копия в "Предыдущие версии" »

Оттуда восстановить не получилось?

В ТП Касперского или DrWeb могут помочь, но только обладателям коммерческой лицензии на их продукт.

[Ыть]

Цитата Sandor:

Оттуда восстановить не получилось? »

получается, почему же нет.

я просто думал, можно вернуть к жизни имеющиеся больные файлы...

в логе есть что интересное?

[Sandor]

Была адварь, но мы ее почистили.

Можете еще проверить уязвимости -
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Ыть]

Спасибо, все файлы восстановил, "сломанные" файлы удалил по маске *.xtbl
Почему-то слетел офис и активация винды, если она была. но это уже совсем другая история )

[Sandor]

Прочтите и выполните Рекомендации после лечения.