Виталий Сурков 0 Опубликовано 7 марта, 2017 Share Опубликовано 7 марта, 2017 Добрый день. Помогите пожалуйста , злоумышленники подключились на сервер через RDP, а там получили администратора и остальным убрали администраторов, но это через ERD было решено. Осталась проблема только с зашифрованной папкой где лежала база 1С (D:\UT) ее положили в архив и зашифровали (UT - likilock@india.com.7z.001) , так же на диске D данный архив постоянно дублируется в папку D:\tmp, там создалось уже 80 копий архива данного. Дополнительно: Был удален из Patch архиватор, был частично удален антивирус касперского, и как выше писал у всех учетных записей были убраны права администратора. CollectionLog-2017.03.07-23.43.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 8 марта, 2017 Share Опубликовано 8 марта, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Виталий Сурков 0 Опубликовано 8 марта, 2017 Автор Share Опубликовано 8 марта, 2017 Добрый день. во вложении. frst.7z Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 8 марта, 2017 Share Опубликовано 8 марта, 2017 C:\Users\Public\wb.exe C:\Users\Public\wc1.exe Что за файлы в расшаренной папке? ATTENTION: The user is not administrator дайте учетной записи права администратора и переделайте логи Ссылка на сообщение Поделиться на другие сайты
Виталий Сурков 0 Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Добрый день. повторно все логи из под учетки администратора. Addition.txt CollectionLog-2017.03.10-10.28.zip FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Что за файлы в расшаренной папке?Ответьте, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Виталий Сурков 0 Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Что за файлы в расшаренной папке?Ответьте, пожалуйста. Не знаю даже. могу их выложить сюда. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Упакуйте с паролем и отправьте @thyrex личным сообщением. Ссылка на сообщение Поделиться на другие сайты
Виталий Сурков 0 Опубликовано 10 марта, 2017 Автор Share Опубликовано 10 марта, 2017 Упакуйте с паролем и отправьте @thyrex личным сообщением. Отправил. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 10 марта, 2017 Share Опубликовано 10 марта, 2017 Удаляйте эти файлы. С разархивированием помочь не сможем Ссылка на сообщение Поделиться на другие сайты
Виталий Сурков 0 Опубликовано 11 марта, 2017 Автор Share Опубликовано 11 марта, 2017 Удаляйте эти файлы. С разархивированием помочь не сможем Удалил, шансов нет вообще на разархивирование? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 11 марта, 2017 Share Опубликовано 11 марта, 2017 Уверен, что пароль на архив имеет значительную длину, и даже программы для их перебора использовать бессмысленно Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти