thyrex Опубликовано 30 июня, 2020 Share Опубликовано 30 июня, 2020 Соберите еще раз логи по правилам на самом первом сервере. Пароль от RDP давно пора было сменить на более сложный. Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 30 июня, 2020 Автор Share Опубликовано 30 июня, 2020 (изменено) Логи в архиве Desktop.rar Изменено 30 июня, 2020 пользователем an4ou5 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 30 июня, 2020 Share Опубликовано 30 июня, 2020 4 минуты назад, an4ou5 сказал: прикрепить почему то не дает Если упаковать в архив, тоже не дает? Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 30 июня, 2020 Автор Share Опубликовано 30 июня, 2020 Just now, Sandor said: Если упаковать в архив, тоже не дает? Сделал Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 30 июня, 2020 Share Опубликовано 30 июня, 2020 Пароль от RDP сменили? Из логов Защитника Windows Цитата Путь: behavior:_pid:128492:53546470502805;file:_\\tsclient\B\Flesh\1sin.exe file:_\\tsclient\B\Flesh\1pgp.exe Куда ведет путь? 1. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta" C:\Users\ivanova.AD\AppData\Roaming\Info.hta C:\Users\ivanova.AD\AppData\Roaming\svhost.exe C:\Users\ivanova.AD\AppData\Roaming\.exe C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe C:\Users\ivanova.AD\AppData\Roaming\tmp.exe End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 2 июля, 2020 Автор Share Опубликовано 2 июля, 2020 (изменено) On 30.06.2020 at 16:09, thyrex said: Пароль от RDP сменили? Из логов Защитника Windows Куда ведет путь? 1. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [.exe] => C:\Users\ivanova.AD\AppData\Roaming\.exe HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [svhost.exe] => C:\Users\ivanova.AD\AppData\Roaming\svhost.exe HKU\S-1-5-21-4133099764-3922599318-3389021176-1215\...\Run: [C:\Users\ivanova.AD\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\ivanova.AD\AppData\Roaming\Info.hta" C:\Users\ivanova.AD\AppData\Roaming\Info.hta C:\Users\ivanova.AD\AppData\Roaming\svhost.exe C:\Users\ivanova.AD\AppData\Roaming\.exe C:\Users\ivanova.AD\AppData\Local\Temp\tmp.exe C:\Users\ivanova.AD\AppData\Roaming\tmp.exe End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Вот пожалуйста, пароль от рдп сменили да Fixlog.txt Изменено 2 июля, 2020 пользователем an4ou5 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 июля, 2020 Share Опубликовано 2 июля, 2020 1. Перестаньте полностью цитировать выдаваемые Вам рекомендации. Для ответов есть область для написания сообщения внизу страницы. 2. Перед скриптом Вам был задан вопрос, ответа на который я не увидел. Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 2 июля, 2020 Автор Share Опубликовано 2 июля, 2020 Посмотрел указанный вами путь, таких файлов там нет, если мне не изменяет память то tsclient это что то от 1с. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 июля, 2020 Share Опубликовано 2 июля, 2020 Я понимаю, что ts - это скорее всего терминальное подключение. Суть в том, что зараза сидела в папке Flesh. Возможно у кого-то на съемном носителе. Сейчас файлы не шифруются повторно? Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 2 июля, 2020 Автор Share Опубликовано 2 июля, 2020 нет, два дня полет нормальный Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 июля, 2020 Share Опубликовано 2 июля, 2020 Тогда на этом и закончим. С расшифровкой помочь не сможем. Ее нет ни в одной антивирусной компании. Ссылка на комментарий Поделиться на другие сайты More sharing options...
an4ou5 Опубликовано 3 июля, 2020 Автор Share Опубликовано 3 июля, 2020 Большое спасибо за оказанное содействие! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти