Виталий Сурков Опубликовано 7 марта, 2017 Share Опубликовано 7 марта, 2017 Добрый день. Помогите пожалуйста , злоумышленники подключились на сервер через RDP, а там получили администратора и остальным убрали администраторов, но это через ERD было решено. Осталась проблема только с зашифрованной папкой где лежала база 1С (D:\UT) ее положили в архив и зашифровали (UT - likilock@india.com.7z.001) , так же на диске D данный архив постоянно дублируется в папку D:\tmp, там создалось уже 80 копий архива данного. Дополнительно: Был удален из Patch архиватор, был частично удален антивирус касперского, и как выше писал у всех учетных записей были убраны права администратора. CollectionLog-2017.03.07-23.43.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 марта, 2017 Share Опубликовано 8 марта, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Виталий Сурков Опубликовано 8 марта, 2017 Автор Share Опубликовано 8 марта, 2017 Добрый день. во вложении. frst.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 марта, 2017 Share Опубликовано 8 марта, 2017 C:\Users\Public\wb.exe C:\Users\Public\wc1.exe Что за файлы в расшаренной папке? ATTENTION: The user is not administrator дайте учетной записи права администратора и переделайте логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Виталий Сурков Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Добрый день. повторно все логи из под учетки администратора. Addition.txt CollectionLog-2017.03.10-10.28.zip FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Что за файлы в расшаренной папке?Ответьте, пожалуйста. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Виталий Сурков Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Что за файлы в расшаренной папке?Ответьте, пожалуйста. Не знаю даже. могу их выложить сюда. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Упакуйте с паролем и отправьте @thyrex личным сообщением. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Виталий Сурков Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Упакуйте с паролем и отправьте @thyrex личным сообщением. Отправил. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Удаляйте эти файлы. С разархивированием помочь не сможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Виталий Сурков Опубликовано 11 марта, 2017 Автор Share Опубликовано 11 марта, 2017 Удаляйте эти файлы. С разархивированием помочь не сможем Удалил, шансов нет вообще на разархивирование? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 11 марта, 2017 Share Опубликовано 11 марта, 2017 Уверен, что пароль на архив имеет значительную длину, и даже программы для их перебора использовать бессмысленно Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти