Перейти к содержанию

Рекомендуемые сообщения

Соберите еще раз логи по правилам на самом первом сервере. Пароль от RDP давно пора было сменить на более сложный.

Ссылка на комментарий
Поделиться на другие сайты

Пароль от RDP сменили?

 

Из логов Защитника Windows

Цитата

Путь: behavior:_pid:128492:53546470502805;file:_\\tsclient\B\Flesh\1sin.exe
file:_\\tsclient\B\Flesh\1pgp.exe

Куда ведет путь?

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta"
C:\Users\ivanova.AD\AppData\Roaming\Info.hta
C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
C:\Users\ivanova.AD\AppData\Roaming\.exe
C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe
C:\Users\ivanova.AD\AppData\Roaming\tmp.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 
Ссылка на комментарий
Поделиться на другие сайты

On 30.06.2020 at 16:09, thyrex said:

Пароль от RDP сменили?

 

Из логов Защитника Windows

Куда ведет путь?

1. Выделите следующий код:


Start::
CreateRestorePoint:
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta"
C:\Users\ivanova.AD\AppData\Roaming\Info.hta
C:\Users\ivanova.AD\AppData\Roaming\svhost.exe
C:\Users\ivanova.AD\AppData\Roaming\.exe
C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe
C:\Users\ivanova.AD\AppData\Roaming\tmp.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 


 

Вот пожалуйста, пароль от рдп сменили да

Fixlog.txt

Изменено пользователем an4ou5
Ссылка на комментарий
Поделиться на другие сайты

1. Перестаньте полностью цитировать выдаваемые Вам рекомендации. Для ответов есть область для написания сообщения внизу страницы.

2. Перед скриптом Вам был задан вопрос, ответа на который я не увидел.

Ссылка на комментарий
Поделиться на другие сайты

Я понимаю, что ts - это скорее всего терминальное подключение. Суть в том, что зараза сидела в папке Flesh. Возможно у кого-то на съемном носителе.

 

Сейчас файлы не шифруются повторно?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...