crysis [openpgp@foxmail.com].pgp

[thyrex]

Соберите еще раз логи по правилам на самом первом сервере. Пароль от RDP давно пора было сменить на более сложный.

[an4ou5]

Логи в архиве

 

 

Desktop.rar

Изменено 30 июня, 2020 пользователем an4ou5

[Sandor]

4 минуты назад, an4ou5 сказал:

прикрепить почему то не дает

Если упаковать в архив, тоже не дает?

[an4ou5]

Just now, Sandor said:

Если упаковать в архив, тоже не дает?

Сделал

[thyrex]

Пароль от RDP сменили?

 

Из логов Защитника Windows

Цитата

Путь: behavior:_pid:128492:53546470502805;file:_\\tsclient\B\Flesh\1sin.exe
file:_\\tsclient\B\Flesh\1pgp.exe

Куда ведет путь?

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta"
C:\Users\ivanova.AD\AppData\Roaming\Info.hta
C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
C:\Users\ivanova.AD\AppData\Roaming\.exe
C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe
C:\Users\ivanova.AD\AppData\Roaming\tmp.exe
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  

 

[an4ou5]

On 30.06.2020 at 16:09, thyrex said:

Пароль от RDP сменили?

 

Из логов Защитника Windows

Куда ведет путь?

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta"
C:\Users\ivanova.AD\AppData\Roaming\Info.hta
C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
C:\Users\ivanova.AD\AppData\Roaming\.exe
C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe
C:\Users\ivanova.AD\AppData\Roaming\tmp.exe
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

 

Вот пожалуйста, пароль от рдп сменили да

Fixlog.txt

Изменено 2 июля, 2020 пользователем an4ou5

[thyrex]

1. Перестаньте полностью цитировать выдаваемые Вам рекомендации. Для ответов есть область для написания сообщения внизу страницы.

2. Перед скриптом Вам был задан вопрос, ответа на который я не увидел.

[an4ou5]

Посмотрел указанный вами путь, таких файлов там нет, если мне не изменяет память то tsclient это что то от 1с.

[thyrex]

Я понимаю, что ts - это скорее всего терминальное подключение. Суть в том, что зараза сидела в папке Flesh. Возможно у кого-то на съемном носителе.

 

Сейчас файлы не шифруются повторно?

[an4ou5]

нет, два дня полет нормальный

[thyrex]

Тогда на этом и закончим. С расшифровкой помочь не сможем. Ее нет ни в одной антивирусной компании.

[an4ou5]

Большое спасибо за оказанное содействие!