Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]

AndrewCott
 Share Подписчики 2

Рекомендуемые сообщения

AndrewCott

AndrewCott 0

Опубликовано
  • Автор
Опубликовано
6 минут назад, Sandor сказал:

Ещё раз удалите старые и соберите новые логи FRST, только предварительно отметьте галочкой "90 Days Files".

Вот, сделал. 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

22 минуты назад, AndrewCott сказал:

У нас они (how to decrypt.hta) практически везде и в каждой папке.

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано
20.11.2020 в 13:26, Sandor сказал:

Меняйте пароли на RDP и на учётные записи администраторов.

Сменили?

 

20.11.2020 в 13:26, Sandor сказал:

Проверьте разрешения в фаерволе на эти порты:

Проверили? Разрешения в последнем логе по-прежнему есть.

Ссылка на сообщение
Поделиться на другие сайты
AndrewCott

AndrewCott 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Сделал

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
AndrewCott

AndrewCott 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Сменили?

 

Проверили? Разрешения в последнем логе по-прежнему есть.

Порты не могу закрыть, через них сидят удалённые сотрудники. Пароли все изменил. Всех пользователей перепроверил, неизвестных удалил. Заметил, что появлялся некий "Admim" дважды. Его удалил и поменял после этого все пароли. На данный момент ничего 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • 123343545646
      Автозапуск браузера
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • JUICE YOGURT
      Вирус MSTASK и вмешательство в HOSTS
      От JUICE YOGURT
      Возможно ли взаимодействие компьютера с одним из этих вирусов? Я буду исходить из своей ситуации, чтобы она была описана более понятна для всех.

      Обнаружил подозрительное вмешательство в своё личное интернет-пространство, злоумышленник решил оставить несколько сообщений от себя в DISCORD (от моего профиля), следов активности с других IP-адресов обнаружено не было, взлома не было, двухфакторная защита активирована. Я начал проверять с помощью антивирусов, увидел, что имелось заражение HOSTS, а после повторной проверки был обнаружен MSTASK Trojan Starter 7691 остальные были менее подозрительными, что могло бы вызвать подозрения на такое вмешательство.
    • Ilyambuss
      [РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10
      От Ilyambuss
      где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

      CollectionLog-2024.09.21-15.59.zip
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...