Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]

AndrewCott
 Поделиться

Рекомендуемые сообщения

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Ещё раз удалите старые и соберите новые логи FRST, только предварительно отметьте галочкой "90 Days Files".

Вот, сделал. 

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

22 минуты назад, AndrewCott сказал:

У нас они (how to decrypt.hta) практически везде и в каждой папке.

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Sandor

Sandor

Опубликовано
Опубликовано
20.11.2020 в 13:26, Sandor сказал:

Меняйте пароли на RDP и на учётные записи администраторов.

Сменили?

 

20.11.2020 в 13:26, Sandor сказал:

Проверьте разрешения в фаерволе на эти порты:

Проверили? Разрешения в последнем логе по-прежнему есть.

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Сделал

Fixlog.txt

AndrewCott

AndrewCott

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Сменили?

 

Проверили? Разрешения в последнем логе по-прежнему есть.

Порты не могу закрыть, через них сидят удалённые сотрудники. Пароли все изменил. Всех пользователей перепроверил, неизвестных удалил. Заметил, что появлялся некий "Admim" дважды. Его удалил и поменял после этого все пароли. На данный момент ничего 

Sandor

Sandor

Опубликовано
Опубликовано
8 минут назад, AndrewCott сказал:

поменял после этого все пароли

Хорошо, понаблюдайте.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...