Перейти к содержанию

Рекомендуемые сообщения

Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.

Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

Аннотация 2020-07-02 170936.png

avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log

Изменено пользователем r3d1
Ссылка на сообщение
Поделиться на другие сайты

Добрый день, прошу прощения не там правила посмотрел, проблема что файл с просьбой видимо был в папке пользователя которую затерли, восстанавливать с помощью програм имеет смысл? Прилагаю логи, и файл вируса который заблокировал антивирус

Строгое предупреждение от модератора thyrex
Не нужно прикреплять вирусы

 

 FRST.txtAddition.txt

файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

SpyHunter 4 удалите через Установку программ.

 

Цитата

Админ (S-1-5-21-2591610697-3891364329-281300777-1001 - Administrator - Enabled) => C:\Users\Админ
Администратор (S-1-5-21-2591610697-3891364329-281300777-500 - Administrator - Enabled)

Даже встроенного Администратора почему-то не отключили.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2646322724-376202264-2636945452-500\...\MountPoints2: {a4fe49c1-b125-11ea-bc78-00d86135b663} - "H:\SISetup.exe" 
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

spyhunter не дает удалить uninstaller.dat зашифрован? т.е получается если единственный компьютер в сети был заражен, то текущая сеть сейчас может функционировать нормально, без этого компьютера? или он мог по сети на другие устройства? хотя там вроде признаков нет, только общие папки частично зашифровались

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Если шифратор был найден именно на этой машине, тогда на этом можно и закончить. Только вот пользователя server я в логах не наблюдаю.

Ссылка на сообщение
Поделиться на другие сайты

я предполагаю что только на 1, потому что на других компьютерах зашифрованы только общие папки, документы без общего доступа не пострадали, а на этом компьютере зашифровало 80% информации вне зависимости расшарена папка или нет. Папка пользователя была удалена, может поэтому?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...