Перейти к содержанию

В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]

AndrewCott
 Поделиться

Рекомендуемые сообщения

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Ещё раз удалите старые и соберите новые логи FRST, только предварительно отметьте галочкой "90 Days Files".

Вот, сделал. 

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

22 минуты назад, AndrewCott сказал:

У нас они (how to decrypt.hta) практически везде и в каждой папке.

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Sandor

Sandor

Опубликовано
Опубликовано
20.11.2020 в 13:26, Sandor сказал:

Меняйте пароли на RDP и на учётные записи администраторов.

Сменили?

 

20.11.2020 в 13:26, Sandor сказал:

Проверьте разрешения в фаерволе на эти порты:

Проверили? Разрешения в последнем логе по-прежнему есть.

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Сделал

Fixlog.txt

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Сменили?

 

Проверили? Разрешения в последнем логе по-прежнему есть.

Порты не могу закрыть, через них сидят удалённые сотрудники. Пароли все изменил. Всех пользователей перепроверил, неизвестных удалил. Заметил, что появлялся некий "Admim" дважды. Его удалил и поменял после этого все пароли. На данный момент ничего 

Sandor

Sandor

Опубликовано
Опубликовано
8 минут назад, AndrewCott сказал:

поменял после этого все пароли

Хорошо, понаблюдайте.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
    • Радмир
      Перестал работать интернет
      Автор Радмир
      при вводе запроса в браузере находит сайты скорость интернета показывает нормальная но почти никакие сайты не грузит скорее никакие не знаю что делать я даже не могу скачать антивирус на Пк потому что нет интернета
    • shougo04
      [РЕШЕНО] Подозрительный процесс/файл WinDivert64.sys с описанием схожим на вирус?
      Автор shougo04
      Не заходил в Discord очень долго, увидел на почте gmail что кто-то меня отметил в сообщении, решил глянуть, оказалось Discord не работает, скачал zapretdisyt, он так и не заработал.
      Подумал ладно, не судьба. Удалил zapret и позже удалю и Discord. При удалении zapretdisyt вылезло вот такое сообщение описание файла WinDivert64.sys в котором меня насторожило слово bitcoin, страшно.
       
       
      Прикрепляю логи от программы miderfinder; autologger ниже со скриншотом при удалении файла. 
       

       
      MinerSearch_26.12.2025_3-24-55.logreport2.logreport1.logCollectionLog-2025.12.26-03.20.zip
       
       
      Живу +4 от МСК поэтому смогу ответить только после 08:00 по МСК как встану, пост отправил в 03:33 ночи. Заранее огромное спасибо любому, кто ответит здесь или уделит любой вид внимания этому посту. я вас всех люблю
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
×
×
  • Создать...