Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Расшифровки этой версии нет.

Помощь в очистке следов и мусора нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этой версии нет.

Помощь в очистке следов и мусора нужна или планируете переустановку?

Очистка следов и мусора

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    2021-01-16 18:35 - 2010-09-20 22:47 - 000451221 _____ (Swan River Computers) C:\Users\Главбух\Downloads\lock.exe
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\Downloads\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\Documents\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\Desktop\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\AppData\Roaming\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\AppData\LocalLow\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\AppData\Local\Temp\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Главбух\AppData\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Public\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-01-16 17:58 - 2021-01-16 17:58 - 000007311 _____ C:\ProgramData\how_to_decrypt.hta
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Смените пароли на RDP, а также перепроверьте - нужны ли все программы удалённого доступа (Anydesk, Radmin, Teamviewer).

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

есть

 

6 часов назад, Sandor сказал:

Смените пароли на RDP, а также перепроверьте - нужны ли все программы удалённого доступа (Anydesk, Radmin, Teamviewer).

да уже закрыл доступ к удаленке, отключил гость и другие.

Удалил тимвивер

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Денис Добрынин
      Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 
      также начал шифрование доступных открытых папок на других компьютерах сети.
      Обнаружили в процессе работы.
      Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)

      Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)
       
       
       
      CollectionLog-2021.06.06-11.12.zip
    • От starrover4
      Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.
      _files.rar Addition.txt FRST.txt
    • От Sergey_Artush
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
      Версию файла шифровальщика не знаю, хотя хотелось бы узнать.
      Просьба помочь с расшифровкой, хотя понимаю что это скорей всего не выполнимо, но все же может повезет!!!
      FRST.7z Files.7z
    • От Цыркин Роман
      Добрый день!
      поймали fairexchange@qq.com crylock. 
       
      crylock.zip
    • От Saaber
      Здравствуйте!
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
       
       
      FRST.7z
×
×
  • Создать...