Базы запаролили

[Auron]

Добрый день. Кто-то проник на сервер, возможно по RDP и запаролил папки с базами. Оставил такое сообщение:

К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем, Вы можете обратиться, написав на электронный адрес [email protected]
В письме укажите свой ip адрес *********
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера,
во избежания подобных ситуаций в будущем.

Логи в архиве приложил.

[Info_bot]

Уважаемый(ая) Auron, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Смотрите логи сервера (если они сохранились), что запускалось после входа по RDP.
Возможно, что-то уцелело в папке C:\Users\ATS\AppData\Roaming\WinRAR

[Auron]

Смотрите логи сервера (если они сохранились), что запускалось после входа по RDP.
Возможно, что-то уцелело в папке C:\Users\ATS\AppData\Roaming\WinRAR

Логи почистили.
В папке ВинРара лежал только version.dat. А что там еще могло быть?
Злоумышленник я так понимаю подчистил весь свой софт за собой?

[thyrex]

Похоже да.

Увы, чем-то помочь не представляется возможным