avtoradio70ru 0 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 Добрый день, залез подлюка по rdp, зашифровал контроллер домена файловый сервак\ несколько тачек. Помогите если сможете) Логи поднимал, эта пакость либо залезла с почты и брутфорсила системные пароли, либо сама чудным образом пробралась через вайтлист\нат\другой порт рдп Файлы в архиве под паролем. pass: SgTv132252 образцы.rar Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 «Порядок оформления запроса о помощи». Ссылка на сообщение Поделиться на другие сайты
avtoradio70ru 0 Опубликовано 3 июля, 2019 Автор Share Опубликовано 3 июля, 2019 Дополняю архивом с логами. CollectionLog-2019.07.03-10.32.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
avtoradio70ru 0 Опубликовано 3 июля, 2019 Автор Share Опубликовано 3 июля, 2019 FRST Desktop.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: 2019-06-25 06:14 - 2019-06-25 06:15 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-25 06:14 - 2019-06-25 06:15 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-25 06:14 - 2019-06-25 06:15 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-25 06:14 - 2019-06-25 06:14 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\Downloads\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\Documents\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\Desktop\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\AppData\Roaming\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\AppData\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\AppData\LocalLow\README.txt 2019-06-25 06:14 - 2019-06-25 06:14 - 000000061 _____ C:\Users\anatol\AppData\Local\README.txt 2019-06-25 06:10 - 2019-06-25 06:15 - 000117451 _____ C:\Users\kmv\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Networkscan.exe.doubleoffset Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Ссылка на сообщение Поделиться на другие сайты
avtoradio70ru 0 Опубликовано 3 июля, 2019 Автор Share Опубликовано 3 июля, 2019 UpdatedFixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 Проверьте ЛС. Ссылка на сообщение Поделиться на другие сайты
avtoradio70ru 0 Опубликовано 3 июля, 2019 Автор Share Опубликовано 3 июля, 2019 @thyrex, Благодарствую. Дай бог здоровья) Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 3 июля, 2019 Share Опубликовано 3 июля, 2019 По окончании расшифровки проверьте уязвимые места. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в Блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти