Lazar_rus 0 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 Доброго времени суток, вирус заархивировал базы 1с, в папке создался текстовый файл со следующим содержанием: Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 13000р на Яндекс деньги. При согласии напишите на почту rob111stewar@hotmail.com info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 KGB-sPy и RemoteAdmin C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe Вы устанавливали? Recuva результат дала? AVZ запущен из терминальной сессии нужны логи AVZ с обновлёнными базами из-под самого сервера. желательно также выполнить данные рекомендации сразу после того, как уберём все программы для удалённого администрирования, которые, как я понимаю, ставили всё-таки не Вы. http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286 и покажите содержимое файла C:\Windows\SYSWOW64\log.txt Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 KGB-sPy и RemoteAdmin C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe Вы устанавливали? Recuva результат дала? AVZ запущен из терминальной сессии нужны логи AVZ с обновлёнными базами из-под самого сервера. желательно также выполнить данные рекомендации сразу после того, как уберём все программы для удалённого администрирования, которые, как я понимаю, ставили всё-таки не Вы. http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286 и покажите содержимое файла C:\Windows\SYSWOW64\log.txt recuva пока не использовал, предположительное время восстановления 2 дня. MPK64 не я ставил разумеется. До сервера добрался, логи делаются, скоро выложу Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 ок. покажите содержимое файла C:\Windows\SYSWOW64\log.txt Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 логи из консольного сеанса, доступ к C:\windows\syswow64\log.txt не удается получить, занят другим процессом virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 будете писать в отдел K заявление - вот IP RMS, с которого Вас вирусовали (если это не Ваш сеанс) 89.108.102.16 5655 Базы 1С были на диске С или Е? если на С - желательно не делать больше никаких манипуляций и пытаться восстановить с помощью Recuva или аналогичной программы... если не на С, Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe'); TerminateProcessByName('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe'); TerminateProcessByName('c:\recycle.bin\wasppacer.exe'); TerminateProcessByName('c:\recycle.bin\winlogon.exe'); TerminateProcessByName('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe'); SetServiceStart('RManService', 4); StopService('RManService'); QuarantineFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe',''); QuarantineFile('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe',''); QuarantineFile('c:\recycle.bin\wasppacer.exe',''); QuarantineFile('c:\recycle.bin\winlogon.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\appidpolicyconverter.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\appidcertstorecheck.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\rundll32.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\System32\wsqmcons.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ceipdata.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ceiprole.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\defrag.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\lpremove.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\gatherNetworkInfo.vbs',''); QuarantineFile('C:\Users\Администратор\WINDOWS\System32\powercfg.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\ServerManagerLauncher.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\tlsbln.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\sc.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\wermgr.exe',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\NLAapi.dll',''); QuarantineFile('C:\Users\Администратор\WINDOWS\system32\napinsp.dll',''); QuarantineFile('C:\Users\Администратор\WINDOWS\System32\mswsock.dll',''); QuarantineFile('C:\Users\Администратор\WINDOWS\System32\winrnr.dll',''); QuarantineFile('C:\Windows\SYSWOW64\runkgb.lnk',''); QuarantineFile('C:\ProgramData\MPK',''); QuarantineFile('C:\Windows\SYSWOW64\log.txt',''); QuarantineFile('C:\Windows\system32\lserver\*',''); QuarantineFile('c:\program files (x86)\1cv82\conf\reg\mpk.exe',''); QuarantineFile('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe',''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1c.lnk'); DeleteFile('C:\Windows\SYSWOW64\runkgb.lnk',' '); DeleteFile('C:\Program Files (x86)\1cv82\conf\reg\MPK64.exe','32'); DeleteFile('C:\Program Files (x86)\1cv82\conf\reg\MPK.exe','32'); DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe','32'); DeleteFile('c:\recycle.bin\wasppacer.exe','32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\252\jp\rutserv.exe','32'); DeleteFile('C:\Recycle.Bin\winlogon.exe','32'); DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rfusclient.exe'); DeleteFile('c:\users\836d~1\appdata\local\temp\252\jp\rutserv.exe'); DeleteFile('c:\recycle.bin\wasppacer.exe'); DeleteFile('c:\recycle.bin\winlogon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows NT Logon Application'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteService('RManService'); DeleteFileMask('C:\ProgramData\MPK','* ',true ,' '); DeleteDirectory('C:\ProgramData\MPK ',' '); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); end. После выполнения скрипта компьютер надо перезагрузить стандартно.Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Сделайте новые логи по правилам. + покажите, что осталось в папке C:/recycle.bin/ C:\Windows\system32\lserver\ а также содержимое C:\Windows\SYSWOW64\log.txt если не будет открываться - Click on Start > type Notepad in the search bar > right-click on the found program > run as administrator and then try and open the log files. Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 скрин папки c:\$Recycle.Bin\ прикрепил, не могу получить доступ к log.txt, как просмотреть его содержимое? \\tsclient\D\Prog\RDP38\info\inf.exe 865165397 2 60809 o21 2 0 77.79.88.109:31856 sys:Lassword3 1:1 93.92.117.138 37568468552 0 0 0 RD10-C6F8A96D-19-53-39-1B-2F-A0-1F-C0 это последняя команда из Run а также содержимое C:\Windows\SYSWOW64\log.txt если не будет открываться - Click on Start > type Notepad in the search bar > right-click on the found program > run as administrator and then try and open the log files. пробовал, не получается, пишет, что файл занят другой программой Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 содержание c:\Windows\SysWOW64\log.exe : Service starting Ответ от вирусной лаборатории: MPK64.exe - not-a-virus:Monitor.Win32.KGBSpy.dЭтот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.rfusclient.exe,rutserv.exe - not-a-virus:RemoteAdmin.Win32.Agent.lrЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.runkgb.lnkФайл в процессе обработки.С уважением, Лаборатория Касперского и новые логи из AVZ virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 все файлы из папки C:\Users\Администратор\Downloads\WaspAce_3.11.1.0_full\ заархивируйте с паролем virus и отправьте как карантин. ответ сообщите. текстовых документов там нет? если нет, папку очистите. что с Recuva? Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 сейчас перекину архив на свой комп и с него отправлю, в папке судя по всему полноценная программа, добавил ее в архив, саму папку удалил. recuva результатов не дала, пробую R.Saver как мне отправить архив, если он весит 30Мб, а в поддержку можно не более 15и отправлять? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 могу ещё предложить Recovery My Files... если восстановление теоретически возможно без оплаты - то только так. это если не платить. пароль к архивам/архиву устанавливался вручную и генерировался вручную. брутфорсить его надо столетия. если не выполняли - выполните рекомендации http://virusinfo.info/showthread.php?t=155834&p=1094286&viewfull=1#post1094286 и обратитесь в ТП ЛК - может специалисты помогут выйти на "обидчика" (IP из той строки run очень интересные - отзываются на определённый порт, только логин/пароль не принимают ). в начальных логах есть IP командного сервера ? и сервера RMS. Ссылка на сообщение Поделиться на другие сайты
Lazar_rus 0 Опубликовано 28 апреля, 2014 Автор Share Опубликовано 28 апреля, 2014 ЛК это личный кабинет в касперском? и в каких начальных логах смотреть? и да, в отделе К сказали, что ничем не могут помочь, так как скорее всего злоумышленник за анонимайзером, и они ни разу за 2 года никого не поймали завтра продолжу войну с вирусом, а сегодня уже ночь) Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 апреля, 2014 Share Опубликовано 28 апреля, 2014 ЛК Лаборатория Касперского да. через личный кабинет. а правильнее для корпоративных клиентов - через персональный кабинет. https://support.kaspersky.com/en/personalcabinet?LANG=ru в каких начальных логах соединение RMS WaspAce Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти