Решена Помогите почистить после шифровальщика rob1111stewar

Статус
В этой теме нельзя размещать новые ответы.

DiT

Новый пользователь
Сообщения
18
Реакции
0
Добрый день.
Поймали на опубликованном компе шифровальщик, все базы 1С были заархивированный, за пароль просили деньги. Данные восстановили из бэкапов, помогите почистить остатки этой дряни с компа? И дайте пожалуйста совет, что бы не допустить подобного в дальнейшем(VPN сделать нет возможности, комп торчит наружу по IP и порту)
К сожалению нет возможности собрать инфу AutoLogger 'ом, доступ к компу имею только по RDP и через консоль с ним работать не могу.
Спасибо!
 

Вложения

  • virusinfo_syscure.zip
    35.4 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    34 KB · Просмотры: 2
  • info.txt
    28.1 KB · Просмотры: 1
  • log.txt
    45.3 KB · Просмотры: 2
Здравствуйте!

Дополнительно - Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал, спасибо
 

Вложения

  • Addition.txt
    31.5 KB · Просмотры: 1
  • FRST.txt
    24.1 KB · Просмотры: 1
Нет, как я понимаю - это майнер, оставленный злоумышленником. Сейчас этой папки там уже нет. Только в "предыдущих версиях"
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\deleter.lnk [2017-01-25]
    ShortcutTarget: deleter.lnk -> C:\Program Files\XMR_cpu\deleter.vbs (No File)
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Если есть возможность, попробуйте через RAdmin собрать логи Автологером.
 
Done
 

Вложения

  • Fixlog.txt
    871 байт · Просмотры: 3
К сожалению, это единственный комп в удалённой локальной сети, к которому я имею доступ. Здесь наверное только придумывать вариант с хамачи+ р-админ.... Без этого никак?
 
RAdmin был виден в логах, потому я и спросил.
Больше плохого не видно.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделал
 

Вложения

  • SecurityCheck.txt
    10.2 KB · Просмотры: 2
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.9.0.1210 Внимание! Скачать обновления
Adobe Shockwave Player 11.5 v.11.5.9.615 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 60.0.2 (x64 en-US) v.60.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 
Благодарю! В ближайшее время сделаю. Какие-то изменения в политиках для паролей или количество попыток входа нужно менять?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу