Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помощь в очистке ПК после шифровальщика

makcsab
 Share Подписчики 1

Рекомендуемые сообщения

makcsab

makcsab 0

Опубликовано
Опубликовано

Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом ? (это уже исправили)
Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
Прошу помощи в удалении возможных остатков этой заразы.
 

FRST.txt Shortcut.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2021-06-21 22:43 - 2021-06-23 01:20 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-06-21 22:43 - 2020-01-30 23:12 - 001460224 _____ (Stas'M Corp.) C:\Users\DefaultAccount\AppData\RDPWInst.exe
2021-06-21 22:43 - 2020-01-30 23:12 - 000000458 _____ C:\Users\DefaultAccount\AppData\install.bat
FirewallRules: [{7870D26D-67AF-4088-B12D-3BFCF26683E4}] => (Allow) LPort=54925
FirewallRules: [{86269696-E0E9-4C65-AF87-BC85A447A1B2}] => (Allow) LPort=1434
FirewallRules: [{BD8218BE-4AD9-4D5A-8F6A-2B26782CF3AC}] => (Allow) LPort=54950
FirewallRules: [{3C074DC3-8D46-49F9-BEB7-50BB6DBC4748}] => (Allow) LPort=54955
FirewallRules: [{2B87CCDC-5B6F-40B2-8D34-54B14AF5D9FF}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Проверьте уязвимые места и критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19080 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.00 (x64 edition) v.17.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 x64 v.3.0.4949 Внимание! Скачать обновления
 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...