Перейти к содержимому


Фотография
- - - - -

шифровальщик HARMA

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 OFF   Павел Семенов

Павел Семенов

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 17 Август 2019 - 15:13

Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо.


Вот лог

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 535

Награды

           

Отправлено 17 Август 2019 - 16:20

Ярлык

C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk

 

, который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Павел Семенов

Павел Семенов

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 17 Август 2019 - 17:08

Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все?


Сообщение отредактировал Павел Семенов: 17 Август 2019 - 17:09

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 535

Награды

           

Отправлено 17 Август 2019 - 17:33

Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Павел Семенов

Павел Семенов

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 17 Август 2019 - 17:40

Поиск говорит нет такого...  Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь


Сообщение отредактировал Павел Семенов: 17 Август 2019 - 17:43

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных