Перейти к содержанию

Помощь в очистке ПК после шифровальщика

makcsab
 Поделиться

Рекомендуемые сообщения

makcsab

makcsab

Опубликовано
Опубликовано

Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом ? (это уже исправили)
Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
Прошу помощи в удалении возможных остатков этой заразы.
 

FRST.txt Shortcut.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2021-06-21 22:43 - 2021-06-23 01:20 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-06-21 22:43 - 2020-01-30 23:12 - 001460224 _____ (Stas'M Corp.) C:\Users\DefaultAccount\AppData\RDPWInst.exe
2021-06-21 22:43 - 2020-01-30 23:12 - 000000458 _____ C:\Users\DefaultAccount\AppData\install.bat
FirewallRules: [{7870D26D-67AF-4088-B12D-3BFCF26683E4}] => (Allow) LPort=54925
FirewallRules: [{86269696-E0E9-4C65-AF87-BC85A447A1B2}] => (Allow) LPort=1434
FirewallRules: [{BD8218BE-4AD9-4D5A-8F6A-2B26782CF3AC}] => (Allow) LPort=54950
FirewallRules: [{3C074DC3-8D46-49F9-BEB7-50BB6DBC4748}] => (Allow) LPort=54955
FirewallRules: [{2B87CCDC-5B6F-40B2-8D34-54B14AF5D9FF}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места и критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19080 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.00 (x64 edition) v.17.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 x64 v.3.0.4949 Внимание! Скачать обновления
 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • gemlor
      шифровальщик [stopencrypt@qq.com].adobe
      Автор gemlor
      Добрый день.

      Словили шифровальщика  *id*[stopencrypt@qq.com].adobe .


      Зашифровал все файлы.

      Как точно попал на комп неизвестно, но 9 из 10 , что через почту.

      Главное касперский  удалил\вылечил архив, но это не помогло (могу приложить список действий касперского из "хранилища"), через несколько дней все было перешифровано.

      Прикрепляю файл логов.
      CollectionLog-2018.11.26-14.39.zip
    • Dkmgpu
      Файлы зашифрованы "Gust"
      Автор Dkmgpu
      Здравствуйте. Была взломана учетная запись с правами доменного администратора. Затем запущено шифрование на рабочей станции, а затем и на серверах. 
      CollectionLog-2018.07.25-14.42.zip
      Замок Сфорца.docx.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...