Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помощь в очистке ПК после шифровальщика

makcsab
 Поделиться

Рекомендуемые сообщения

makcsab Новичок

makcsab

Опубликовано
Опубликовано

Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом ? (это уже исправили)
Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
Прошу помощи в удалении возможных остатков этой заразы.
 

FRST.txt Shortcut.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2021-06-21 22:43 - 2021-06-23 01:20 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-06-21 22:43 - 2020-01-30 23:12 - 001460224 _____ (Stas'M Corp.) C:\Users\DefaultAccount\AppData\RDPWInst.exe
2021-06-21 22:43 - 2020-01-30 23:12 - 000000458 _____ C:\Users\DefaultAccount\AppData\install.bat
FirewallRules: [{7870D26D-67AF-4088-B12D-3BFCF26683E4}] => (Allow) LPort=54925
FirewallRules: [{86269696-E0E9-4C65-AF87-BC85A447A1B2}] => (Allow) LPort=1434
FirewallRules: [{BD8218BE-4AD9-4D5A-8F6A-2B26782CF3AC}] => (Allow) LPort=54950
FirewallRules: [{3C074DC3-8D46-49F9-BEB7-50BB6DBC4748}] => (Allow) LPort=54955
FirewallRules: [{2B87CCDC-5B6F-40B2-8D34-54B14AF5D9FF}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места и критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19080 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.00 (x64 edition) v.17.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 x64 v.3.0.4949 Внимание! Скачать обновления
 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      Автор Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Автор Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Помогите расшифровать(((

      В тхт файле пишут следующее:
       
      If you see this, your files were successfully encrypted.
      We advice you not to search free decryption method.
      It's impossible. We are using symmetrical and asymmetric encryption.
      ATTENTION:
          - Don't rename encrypted files.
          - Don't change encrypted files.
          - Don't use third party software.
      TIME IS RUNNING OUT:
          - The longer you wait, the more money you'll have to pay to get your files back.
            If you wait too long, you'll lose them forever.
      To reach an agreement we offer you to contact with us.
      How to contact with us: 
          * Download Tor Browser:
              Get the Tor Browser from https://torproject.org/download
          * Launch Tor Browser:
                  Open the Tor Browser on your device.
          * Connect to Tor Network:
                  Click "Establish a Connection".
          * Go to this address:
                  Copy and paste address below in the address bar:
×
×
  • Создать...