crylock пробрался шифровальщик. прикрепляет к файлам почту honestandhope@qq.com

[Kengor]

Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.

Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.

Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {2b03cfe7-6f13-11e8-8766-806e6f6e6963} - D:\Run.exe
  HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
  HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
  HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
  HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
  CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
  C:\Users\Andrey\AppData\Local\Vivaldi\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
  U3 aswbdisk; отсутствует ImagePath
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
  Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1003 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  FirewallRules: [{146B8A39-BB7F-4D4C-9F64-98C72B278D38}] => (Allow) LPort=8502
  FirewallRules: [{92D735DE-1020-4EBC-B39A-2CA243BF3226}] => (Allow) LPort=8501
  FirewallRules: [{8163E242-5FBB-4C04-A3A5-8B02630D30BE}] => (Allow) LPort=8501
  FirewallRules: [{D79B4082-D64E-4FCD-9D5D-EF1904D43A85}] => (Allow) LPort=33202
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Kengor]

Все сделал. файл прилагаюFixlog.txt

[Sandor]

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Kengor]

Сделал SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.20063 [+]
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
LibreOffice 7.0.6.2 v.7.0.6.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.5.9 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.8 v.3.58.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.3.181.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.3.181.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
 

 

Хотфиксы постарайтесь все установить. Читайте Рекомендации после удаления вредоносного ПО

[Kengor]

Хорошо. спасибо