Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо.


Вот лог

CollectionLog-2019.08.17-13.27.zip

Опубликовано

Ярлык

C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk

 

, который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?

Опубликовано (изменено)

Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все?

Изменено пользователем Павел Семенов
Опубликовано

Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.

Опубликовано (изменено)

Поиск говорит нет такого...  Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь

Изменено пользователем Павел Семенов

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...