WhySpice Опубликовано 6 января Share Опубликовано 6 января (изменено) Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt README.txt Изменено 6 января пользователем WhySpice Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января Уточнение: RDP порт был нестандартным, также ip block после двух неудачных попыток входа (обезопасился от брутфорса) Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января Это ваши файлы:? 2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe 2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd которые в автозапуске HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января (изменено) Только что, safety сказал: Это ваши файлы:? 2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe 2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd которые в автозапуске HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ Нет, не мои. Сейчас еще KVRT досканирует, отчет пришлю Изменено 6 января пользователем WhySpice Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: () [Файл не подписан] C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe <2> (C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe ->) (voidtools -> voidtools) C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\Everything.exe HKLM\...\Run: [datastorecyberfearcom] => C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe [2394112 2023-07-24] () [Файл не подписан] HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SecHealthUI.exe: [Debugger] svchost.exe IFEO\SecurityHealthService.exe: [Debugger] svchost.exe IFEO\SecurityHealthSystray.exe: [Debugger] svchost.exe IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\upfc.exe: [Debugger] svchost.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe 2025-01-06 14:53 - 2025-01-06 14:53 - 000000352 _____ C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt 2025-01-06 14:50 - 2025-01-06 14:50 - 000000352 _____ C:\README.txt 2025-01-06 12:41 - 2025-01-06 12:41 - 000000352 _____ C:\Users\yana\AppData\Local\README.txt 2025-01-06 14:58 - 2024-08-21 00:11 - 000000000 ____D C:\Temp 2025-01-06 14:56 - 2024-05-12 07:41 - 000000000 __SHD C:\Users\yana\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23 2025-01-06 14:53 - 2023-06-10 18:47 - 000000000 __SHD C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. + Эти файлы добавьте в отдельный архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь. 2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe 2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe 2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января После перезагрузки снесло загрузчик... Сейчас через LiveCD загружусь, скину логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января (изменено) Quarantine: ссылка удалена Fixlog.txt 11 минут назад, safety сказал: Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было. Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) Скрипт выполнился успешно. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен Карантин сейчас проверю. Папку с карантином без пароля заархивировали? Надо с паролем virus, иначе облачный сервер не отдаст файл. 5 минут назад, safety сказал: HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен Если проблема с загрузкой останется, восстановите в реестре здесь прежнее значение ключа. "C:\Windows\SysWOW64\explorer.exe" Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января (изменено) ссылка удалена исправил Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января Пробуйте на Яндекс-диск загрузить. Mail не отдает архив. Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января (изменено) 11 минут назад, safety сказал: Пробуйте на Яндекс-диск загрузить. Mail не отдает архив. файл загружен, ссылка удалена Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина. 24 минуты назад, WhySpice сказал: Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было. тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание. 2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe 2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe 2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 4 минуты назад, safety сказал: Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина. тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание. 2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe 2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe 2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd https://disk.yandex.ru/d/p_Dp8StiWs3mpg Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) 31 минуту назад, WhySpice сказал: 2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe такой ответ: Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор. Другие два файла подозрительны, возможно они как раз этот файл и запускают для своей цели. Сделайте новые логи FRST посмотрим что там сейчас после очистки Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти