Перейти к содержанию

Рекомендуемые сообщения

Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.

Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

Аннотация 2020-07-02 170936.png

avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log

Изменено пользователем r3d1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По съемным носителям не передается.

А вот правила создания запроса в разделе другие. Их и нужно выполнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день, прошу прощения не там правила посмотрел, проблема что файл с просьбой видимо был в папке пользователя которую затерли, восстанавливать с помощью програм имеет смысл? Прилагаю логи, и файл вируса который заблокировал антивирус

Строгое предупреждение от модератора thyrex
Не нужно прикреплять вирусы

 

 FRST.txtAddition.txt

файлы.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения, думал тот архив тоже надо было прикрепить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SpyHunter 4 удалите через Установку программ.

 

Цитата

Админ (S-1-5-21-2591610697-3891364329-281300777-1001 - Administrator - Enabled) => C:\Users\Админ
Администратор (S-1-5-21-2591610697-3891364329-281300777-500 - Administrator - Enabled)

Даже встроенного Администратора почему-то не отключили.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2646322724-376202264-2636945452-500\...\MountPoints2: {a4fe49c1-b125-11ea-bc78-00d86135b663} - "H:\SISetup.exe" 
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

spyhunter не дает удалить uninstaller.dat зашифрован😔 т.е получается если единственный компьютер в сети был заражен, то текущая сеть сейчас может функционировать нормально, без этого компьютера? или он мог по сети на другие устройства? хотя там вроде признаков нет, только общие папки частично зашифровались

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Шифровальщик только шифрует все, куда смог дотянуться. Но по сети исполняемые файлы шифратора не передаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понял, спасибо, какие дальнейшие действия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Расшифровки нет. Пароль от RDP смените и вообще скройте RDP за VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да RDP закрыл вообще пока временно, после Fixlog.txt, действия дальше требуются? или как убедиться что шифровальщик "пал"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если шифратор был найден именно на этой машине, тогда на этом можно и закончить. Только вот пользователя server я в логах не наблюдаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я предполагаю что только на 1, потому что на других компьютерах зашифрованы только общие папки, документы без общего доступа не пострадали, а на этом компьютере зашифровало 80% информации вне зависимости расшарена папка или нет. Папка пользователя была удалена, может поэтому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда на этом закончим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

×
×
  • Создать...