melekhin 0 Опубликовано 11 декабря, 2017 Share Опубликовано 11 декабря, 2017 {KIARA}.SN-4793544493933116-kiaracript@gmail.com вот такое содержимое файла с инструкциями Обнаружен объект: Троян Trojan.BAT.BitCoinMiner.dg. Имя объекта: C:\Users\Valentina\Desktop\MGP.exe//Hide.vbs Обнаружен объект: Троян Trojan-Dropper.MSIL.Mine.dg. Имя объекта: C:\Users\Valentina\Desktop\svshost.exe пользователь валентина имел лёгкий пароль, и возможно его взломали, подобрали пароль к сессии RDP... запаковал все расшареные папки в локальной сети... какие наши действия? Зайти под этим пользователем и запустить утилиту сбора логов? или можно изпод админа? Сервер виртуальный 2008R2 CollectionLog-2017.12.11-12.22.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 11 декабря, 2017 Share Опубликовано 11 декабря, 2017 Здравствуйте! Файл C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXTвместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', ''); QuarantineFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', ''); DeleteFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '32'); DeleteFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '32'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-729847823-1059420049-4267801177-1008\Software\Microsoft\Windows\CurrentVersion\Run', '{CDE0DCAA-D176-5A46-B7B5-2174B5E77F1E}'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
melekhin 0 Опубликовано 11 декабря, 2017 Автор Share Опубликовано 11 декабря, 2017 Здравствуйте! Файл C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXTвместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. пользователя уже отключили и его папку удалили ( к сожалению... --.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 11 декабря, 2017 Share Опубликовано 11 декабря, 2017 Продолжайте. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти