Словил trojan.multi.lockedfolder.a

[666]

Насал тормозить сервер забивается канал связи 50мб загрузки пользователей минимальны, при установки пишет нет прав хотя права админа не дает установить ПО, после чистки КVRT вирус не видит при повторном сканировании но прав так и нет на папки где-то остались хвостыCollectionLog-2023.08.30-14.58.zip

[666]

Desktop.7z

 

AV_block_remove_2023.08.30-15.21.7z

также пропал доступ к серверу по рдп

[thyrex]

6 часов назад, 666 сказал:

также пропал доступ к серверу по рдп

настраивайте заново, возможно это последствия запуска AVBR на сервере.

 

Логи Farbar придется сделать заново, т.к. Вы его запускали до AVBR.

 

За то теперь будете знать, что перед запуском активатора C:\Users\v.gvai\Downloads\KMSAuto++ Portable 1.7.9 by Ratiborus.zip его стоит хотя бы проверить на вирусы.

 

[666]

а разве бы антивирь не дельнул бы его ??? ругнувшись HACKTOOL.WIN32.KMSAUTO

к тому же тормоза начались раньше 

 Desktop.rar

[thyrex]

Антивирус честно предупредил Вас о запуске потенциально опасного ПО. Любой антивирусный продукт лишь уменьшает риск заболеть, 95% вины за возникновенте проблем лежит на пользователе.

 

В архиве размером больше 200 мегабайт файл data0.bin, содержащий компоненты майнера, явно имеет дату, близкую к моменту заражения.

 

Отвечу по логам после обеда, когда вернусь к компьютеру.

[666]

понял спасибо ждем решение по логам

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2222850548-543614407-3070973998-3709\...\Run: [YandexBrowserAutoLaunch_F60672A8A29ACCDFE6222E8174810B3F] => "C:\Users\v.gvai\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2023-08-29 20:46 - 2023-08-29 20:46 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-08-29 20:46 - 2023-08-29 20:46 - 000000000 __SHD C:\Users\v.gvai\AppData\Roaming\Sysfiles
2023-08-29 20:46 - 2023-08-29 20:46 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-29 20:46 - 2023-08-29 20:46 - 000000000 __SHD C:\Program Files\NETGATE
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  

 

[666]

готово 

Fixlog.rar

[thyrex]

На этом можно закончить

[666]

отлично помониторю Огромное СПАСИБО 

 

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys на данную папку нет прав на изменение в свойствах все серое также у админов нет прав, понимаю что последствия заражения есть вариант исправления??

[thyrex]

Майнер не трогает эту папку, насколько нам известно