xmrlocker Помощь в очистке ПК после шифровальщика

[makcsab]

Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом ? (это уже исправили)
Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
Прошу помощи в удалении возможных остатков этой заразы.
 

FRST.txt Shortcut.txt Addition.txt

[Sandor]

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  2021-06-21 22:43 - 2021-06-23 01:20 - 000000000 ____D C:\Program Files\RDP Wrapper
  2021-06-21 22:43 - 2020-01-30 23:12 - 001460224 _____ (Stas'M Corp.) C:\Users\DefaultAccount\AppData\RDPWInst.exe
  2021-06-21 22:43 - 2020-01-30 23:12 - 000000458 _____ C:\Users\DefaultAccount\AppData\install.bat
  FirewallRules: [{7870D26D-67AF-4088-B12D-3BFCF26683E4}] => (Allow) LPort=54925
  FirewallRules: [{86269696-E0E9-4C65-AF87-BC85A447A1B2}] => (Allow) LPort=1434
  FirewallRules: [{BD8218BE-4AD9-4D5A-8F6A-2B26782CF3AC}] => (Allow) LPort=54950
  FirewallRules: [{3C074DC3-8D46-49F9-BEB7-50BB6DBC4748}] => (Allow) LPort=54955
  FirewallRules: [{2B87CCDC-5B6F-40B2-8D34-54B14AF5D9FF}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[makcsab]

Выполнил

Fixlog.txt

[Sandor]

Проверьте уязвимые места и критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[makcsab]

Готово

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19080 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.00 (x64 edition) v.17.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 x64 v.3.0.4949 Внимание! Скачать обновления
 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Читайте Рекомендации после удаления вредоносного ПО

[makcsab]

Спасибо большое за помощь!