Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помощь в очистке ПК после шифровальщика

makcsab
 Поделиться

Рекомендуемые сообщения

makcsab

makcsab

Опубликовано
Опубликовано

Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом ? (это уже исправили)
Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
Прошу помощи в удалении возможных остатков этой заразы.
 

FRST.txt Shortcut.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2021-06-21 22:43 - 2021-06-23 01:20 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-06-21 22:43 - 2020-01-30 23:12 - 001460224 _____ (Stas'M Corp.) C:\Users\DefaultAccount\AppData\RDPWInst.exe
2021-06-21 22:43 - 2020-01-30 23:12 - 000000458 _____ C:\Users\DefaultAccount\AppData\install.bat
FirewallRules: [{7870D26D-67AF-4088-B12D-3BFCF26683E4}] => (Allow) LPort=54925
FirewallRules: [{86269696-E0E9-4C65-AF87-BC85A447A1B2}] => (Allow) LPort=1434
FirewallRules: [{BD8218BE-4AD9-4D5A-8F6A-2B26782CF3AC}] => (Allow) LPort=54950
FirewallRules: [{3C074DC3-8D46-49F9-BEB7-50BB6DBC4748}] => (Allow) LPort=54955
FirewallRules: [{2B87CCDC-5B6F-40B2-8D34-54B14AF5D9FF}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места и критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19080 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.00 (x64 edition) v.17.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 x64 v.3.0.4949 Внимание! Скачать обновления
 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон.Б
      Поймал шифровальщика через RDP .r9Zw10Hg
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • Valek777
      зашифрованы файлы
      Автор Valek777
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 419D9A8EFC43B7B3A621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 419D9A8EFC43B7B3A621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.27-22.57.zip
    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
×
×
  • Создать...