заархивированы базы данных с паролем

[Lazar_rus]

Доброго времени суток, вирус заархивировал базы 1с, в папке создался текстовый файл со следующим содержанием:

Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.

Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги.

 

При согласии напишите на почту rob111stewar@hotmail.com

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

KGB-sPy и RemoteAdmin

C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe

c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe

Вы устанавливали?

 

Recuva результат дала?

 

 

AVZ запущен из терминальной сессии 

 

 

нужны логи AVZ с обновлёнными базами из-под самого сервера.

желательно также выполнить данные рекомендации сразу после того, как уберём все программы для удалённого администрирования, которые, как я понимаю, ставили всё-таки не Вы.

http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286

и покажите содержимое файла C:\Windows\SYSWOW64\log.txt

[Lazar_rus]

KGB-sPy и RemoteAdmin

C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe

c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe

Вы устанавливали?

 

Recuva результат дала?

 

 

AVZ запущен из терминальной сессии 

 

 

нужны логи AVZ с обновлёнными базами из-под самого сервера.

желательно также выполнить данные рекомендации сразу после того, как уберём все программы для удалённого администрирования, которые, как я понимаю, ставили всё-таки не Вы.

http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286

и покажите содержимое файла C:\Windows\SYSWOW64\log.txt

 

recuva пока не использовал, предположительное время восстановления 2 дня.

MPK64 не я ставил разумеется.

До сервера добрался, логи делаются, скоро выложу

[Roman_Five]

ок.

 

 

 

покажите содержимое файла C:\Windows\SYSWOW64\log.txt

[Lazar_rus]

логи из консольного сеанса, доступ к C:\windows\syswow64\log.txt не удается получить, занят другим процессом

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

будете писать в отдел K заявление - вот IP RMS, с которого Вас вирусовали (если это не Ваш сеанс)

89.108.102.16    5655

Базы 1С были на диске С или Е?

если на С - желательно не делать больше никаких манипуляций и пытаться восстановить с помощью Recuva или аналогичной программы...

 

если не на С, 

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe');
TerminateProcessByName('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe');
TerminateProcessByName('c:\recycle.bin\wasppacer.exe');
TerminateProcessByName('c:\recycle.bin\winlogon.exe');
TerminateProcessByName('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe');
SetServiceStart('RManService', 4);
StopService('RManService');
QuarantineFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe','');
QuarantineFile('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe','');
QuarantineFile('c:\recycle.bin\wasppacer.exe','');
QuarantineFile('c:\recycle.bin\winlogon.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\appidpolicyconverter.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\appidcertstorecheck.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\rundll32.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\System32\wsqmcons.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ceipdata.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ceiprole.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\defrag.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\lpremove.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\gatherNetworkInfo.vbs','');
QuarantineFile('C:\Users\Администратор\WINDOWS\System32\powercfg.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ServerManagerLauncher.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\tlsbln.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\sc.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\wermgr.exe','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\NLAapi.dll','');
QuarantineFile('C:\Users\Администратор\WINDOWS\system32\napinsp.dll','');
QuarantineFile('C:\Users\Администратор\WINDOWS\System32\mswsock.dll','');
QuarantineFile('C:\Users\Администратор\WINDOWS\System32\winrnr.dll','');
QuarantineFile('C:\Windows\SYSWOW64\runkgb.lnk','');
QuarantineFile('C:\ProgramData\MPK','');
QuarantineFile('C:\Windows\SYSWOW64\log.txt','');
QuarantineFile('C:\Windows\system32\lserver\*','');
QuarantineFile('c:\program files (x86)\1cv82\conf\reg\mpk.exe','');
QuarantineFile('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe','');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1c.lnk');
DeleteFile('C:\Windows\SYSWOW64\runkgb.lnk',' ');
DeleteFile('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe','32');
DeleteFile('C:\Program Files (x86)\1cv82\conf\reg\MPK.exe','32');
DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe','32');
DeleteFile('c:\recycle.bin\wasppacer.exe','32');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\252\jp\rutserv.exe','32');
DeleteFile('C:\Recycle.Bin\winlogon.exe','32');
DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe');
DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe');
DeleteFile('c:\recycle.bin\wasppacer.exe');
DeleteFile('c:\recycle.bin\winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows NT Logon Application');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteService('RManService');
DeleteFileMask('C:\ProgramData\MPK','* ',true ,' ');
DeleteDirectory('C:\ProgramData\MPK ',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.

После выполнения скрипта компьютер надо перезагрузить стандартно.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Сделайте новые логи по правилам.

 

 

+

покажите, что осталось в папке C:/recycle.bin/

C:\Windows\system32\lserver\

а также содержимое C:\Windows\SYSWOW64\log.txt

если не будет открываться - Click on Start > type Notepad in the search bar > right-click on the found program > run as administrator and then try and open the log files.

[Lazar_rus]

скрин папки c:\$Recycle.Bin\ прикрепил, не могу получить доступ к log.txt, как просмотреть его содержимое?

\\tsclient\D\Prog\RDP38\info\inf.exe 865165397 2 60809 o21 2 0 77.79.88.109:31856 sys:Lassword3 1:1 93.92.117.138 37568468552 0 0 0 RD10-C6F8A96D-19-53-39-1B-2F-A0-1F-C0

это последняя команда из Run

 

а также содержимое C:\Windows\SYSWOW64\log.txt

если не будет открываться - Click on Start > type Notepad in the search bar > right-click on the found program > run as administrator and then try and open the log files.

пробовал, не получается, пишет, что файл занят другой программой

[Lazar_rus]

содержание c:\Windows\SysWOW64\log.exe :

Service starting
 

Ответ от вирусной лаборатории:

MPK64.exe - not-a-virus:Monitor.Win32.KGBSpy.d

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

rfusclient.exe,
rutserv.exe - not-a-virus:RemoteAdmin.Win32.Agent.lr

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

runkgb.lnk

Файл в процессе обработки.

С уважением, Лаборатория Касперского

и новые логи из AVZ

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

все файлы из папки C:\Users\Администратор\Downloads\WaspAce_3.11.1.0_full\ заархивируйте с паролем virus и отправьте как карантин.

ответ сообщите.

 

текстовых документов там нет? если нет, папку очистите.

 

что с Recuva?

[Lazar_rus]

сейчас перекину архив на свой комп и с него отправлю, в папке судя по всему полноценная программа, добавил ее в архив, саму папку удалил.

recuva результатов не дала, пробую R.Saver

как мне отправить архив, если он весит 30Мб, а в поддержку можно не более 15и отправлять?

[Roman_Five]

могу ещё предложить Recovery My Files...

 

если восстановление теоретически возможно без оплаты - то только так. это если не платить.

 

пароль к архивам/архиву устанавливался вручную и генерировался вручную.

брутфорсить его надо столетия.

 

если не выполняли - выполните рекомендации http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286

 

и обратитесь в ТП ЛК - может специалисты помогут выйти на "обидчика" (IP из той строки run очень интересные - отзываются на определённый порт, только логин/пароль не принимают ).

в начальных логах есть IP командного сервера ? и сервера RMS.

[Lazar_rus]

ЛК это личный кабинет в касперском?

 

и в каких начальных логах смотреть?

и да, в отделе К сказали, что ничем не могут помочь, так как скорее всего злоумышленник за анонимайзером, и они ни разу за 2 года никого не поймали

 

завтра продолжу войну с вирусом, а сегодня уже ночь)

[Roman_Five]

ЛК

 

Лаборатория Касперского

 

да. через личный кабинет. а правильнее для корпоративных клиентов - через персональный кабинет.

https://support.kaspersky.com/en/personalcabinet?LANG=ru

 

 

 

в каких начальных логах

 

соединение RMS

WaspAce