Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Удаление последствий CryLock

starrover4
 Поделиться

Рекомендуемые сообщения

starrover4 Новичок

starrover4

Опубликовано
Опубликовано

Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.

_files.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Склад\Desktop\ClearLock.exe - известен этот файл или появился вместе с шифратором?

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747] => "C:\users\0c46~1\appdata\local\temp\5\svcqib.exe" -id "C7159730-D7A45747" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747hta] => c:\users\0c46~1\appdata\local\temp\5\how_to_decrypt.hta <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Downloads\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Documents\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Desktop\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\LocalLow\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\ProgramData\how_to_decrypt.hta
File: C:\users\Склад\appdata\local\temp\5\svcqib.exe
File: C:\users\0c46~1\appdata\local\temp\5\svcqib.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты
starrover4 Новичок

starrover4

Опубликовано
  • Автор
Опубликовано

C:\Users\Склад\Desktop\ClearLock.exe -- этот файл скорее всего появился вместе с шифратором. Профилем пользователя "Склад" уже несколько месяцев в организации не пользуются для работы на сервере. Но папка C:\Users\Склад -- единственная папка пользователя, где был обнаружен файл -- how_to_decrypt.hta. Хотя на диске D этот файл есть в каждой папке. Ну а в папке где этот файл есть -- все файлы зашифрованы.

лог-файл (Fixlog.txt)

Fixlog_28-03-2021 14.49.29.txt

Ссылка на комментарий
Поделиться на другие сайты
starrover4 Новичок

starrover4

Опубликовано
  • Автор
Опубликовано

Спасибо большое за помощь! Что можете еще порекомендовать, чтобы подобное не повторилось в будущем? Какое ПО от Касперского установить на windows server 2016 standard + terminal server для защиты от вирусов-шифровальщиков?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vorosshilov_k
      NET:MALWARE.URL помощь в удалении
      Автор vorosshilov_k
      Здравствуйте! Процессор ноутбука начал хорошенько греться даже в идле на батарее и на зарядке. Решил проверить кьюритом и увидел NET:MALWARE.URL winnet.exe. Понял, что лучше оставить заявку на форуме, чем заниматься самодеятельностью. Все файлы прилагаю. Заранее спасибо!

      CollectionLog-2025.04.11-14.05.zip
    • flynk
      вирус "updater.exe" восстанавливается при удалении
      Автор flynk
      вчера обнаружил вирус на своем компьютере и при удалении он сразу же восстанавливается. сидит в C:\ProgramData\Google\Chrome (на момент написания файл в папке отсутствует, но папка Google при удалении восстанавливается). п ерепробовал кучу способов, удалить не получается. пробовал откатываться на точки восстановления, но все равно не помогало. ранее при запуске компьютера панель задач прогружалась минут 5, все крайне лагало. на данный момент проблемы вроде как пропали, но при первом запуске просто черный экран. сканировался через Malwarebytes, DrWeb Cureit, Hitman PRO. 
      CollectionLog-2024.02.06-21.02.zip
    • DarkMeF
      [РЕШЕНО] ошибка 0xc0000017 удаленный рабочий стол
      Автор DarkMeF
      Добрый день, подскажите как решить данную проблему. Думал что только на удаленку не заходит. а оказалось командная строка тоже не все команды выполняет(та же ошибка) и службы вообще не открываются
       

    • Павел Кудрявцев
      Помощь в удалении вирусов и установки приложения KAV
      Автор Павел Кудрявцев
      Доброго времени суток!
      Пытаюсь установить антивирус себе на компьютер, чувствую, что компьютер всё равно выдает маломальски какие-то ошибки, точно что-то словил.
      Поставил себе dr.web просканировал всё, но всё равно стабильной работы не наблюдается, решил установить себе нормальный антивирус.
      При загрузке не произошло ничего особенного, но вот уже при установке начались определенного рода танцы, при установке программа просит перезагрузить компьютер, а после примерно на 60% установочник просто вылетает и ничего дальше не происходит, скачивал программу для удаления всех следов антивируса на компьютере, но и она ничего не находит, пытался вручную удалить и всё равно тишина.
      после многочисленных способов всё равно программа не хочет ставится на устройство 
      А хочется всё таки установить, чтобы успешно просканировать весь компьютер и быть на полноценной защите
      Что делать при данной ситуации? Пожалуйста подскажите...
    • Damirks
      Удаление вируса MEM:Trojan.Win32.SEPEH.gen
      Автор Damirks
      CollectionLog-2025.03.04-12.43.zip
      Здравствуйте, поймал вирус SEPEH.GEN, пробовал удалить касперским не получается, устраняет перезагружается и снова его находит. Показывает его в приложении Vmix64.exe на обоих рабочих машинах одновременно прилетел этот вирус. Компьютеры подключены к локальной сети думаю оттуда и прилетел. в браузере с этого компа особо не работаем. CureIt ничего не находит
×
×
  • Создать...