r23_23 0 Опубликовано 17 января, 2020 Share Опубликовано 17 января, 2020 Здравствуйте. Базы данных заархивированы в архив winrar и запаролены. Проверка на вирусы утилитами не показала никаких заражений. текст письма в формате "txt": Здравствуйте, ваши файлы запакованы в архивы с паролем. Если вам нужен пароль пишите на почту winrarpass@protonmail.com Пароль стоит всего 15000 рублей p.s. Огромная просьба не писать просто так, ответы на все популярные вопросы ниже (НАДО ЧИТАТЬ!). Вопросы и ответы: Как вы к нам попали ? - У вас есть Подключение к удаленному рабочему столу. Смените пароли к учетным записм как только это прочтете. С этого комптютера уже могла вестись работа с локальными ресурсами и.т.п. Откуда мне знать что все файлы расшифруются ? - Это обычный архив, вы сами можете открыть его и посмотреть все ли на месте. Распаковывать вы будите сами, я только продаю пароль. Что бы узнать есть ли у меня пароль, отправьте мне какой нибудь архив, я что нибудь распакую и отправлю вам. Это не повторится ? - Чуть выше написано что нужно сделать что бы это не повторилось. Могу так же посоветовать всегда обновлять виндовс, офисные программы и для своего успокоения установить антивирус. Кто вы ? Как вы нас нашли и.т.п. - Найти все компьютеры в СНГ с открытым 3389 портом это 2 часа времени. Проверить на слабые пароли занимает ненамного больше времени Я это наименьшее зло из возможных, так как обычно за такое просят от 10к. Я не копировал файлы себе, мне плевать что у вас там в базах и все что мне нужно это копеечку на еду и проституток. p.s.s. Вопросы по типу "Гарантии" и "А если ... ?" из разряда глупых. Вы отправляете деньги - получаете пароль. Все довольны, каждый продолжает жить своей жизнью. Я думаю очевидно что в моих интересах что бы клиент оставался доволен. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 января, 2020 Share Опубликовано 17 января, 2020 Здравствуйте! Порядок оформления запроса о помощи Логи прикрепите в этой теме, новую создавать не нужно. Ссылка на сообщение Поделиться на другие сайты
r23_23 0 Опубликовано 17 января, 2020 Автор Share Опубликовано 17 января, 2020 вот логи Вот логи CollectionLog-2020.01.17-11.37.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 января, 2020 Share Опубликовано 17 января, 2020 (изменено) С разархивацией помочь не сможем. Смените пароли на RDP и на учетную запись администратора. Следы прежнего заражения почистим: Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Очистите следы бывшей установки антивируса Comodo по соотв. инструкции: Чистка системы после некорректного удаления антивируса. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', ''); QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', ''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\cis6A94.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Local\smss.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', ''); QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', ''); QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteSchedulerTask('At1'); DeleteSchedulerTask('At1.job'); DeleteSchedulerTask('CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}'); DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '64'); DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '64'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\cis6A94.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Local\smss.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Local\smss.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Templates\WowTumpeh.com', '64'); DeleteFile('C:\Users\Администратор\Favorites\Mail.Ru.url'); DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '64'); DeleteService('ContentProtector'); DeleteService('ContentProtectorDrv'); DeleteService('ContentProtectorUpdate'); DeleteFileMask('c:\program files\contentprotector', '*', true); DeleteDirectory('c:\program files\contentprotector'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'x64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'x64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'x64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(8); end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Изменено 17 января, 2020 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
r23_23 0 Опубликовано 17 января, 2020 Автор Share Опубликовано 17 января, 2020 KL-713756 CollectionLog-2020.01.17-19.02.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 января, 2020 Share Опубликовано 17 января, 2020 KL-713756Сам ответ тоже процитируйте, пожалуйста. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
r23_23 0 Опубликовано 18 января, 2020 Автор Share Опубликовано 18 января, 2020 вот результат архив quarantine.zip получается пустой, без вложений Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 18 января, 2020 Share Опубликовано 18 января, 2020 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: HKLM-x32\...\Run: [Bron-Spizaetus] => "C:\Users\Администратор\WINDOWS\ShellNew\bronstab.exe" C:\Users\Администратор\WINDOWS\ShellNew\bronstab.exe HKU\S-1-5-21-578529663-3040081872-3248628553-1121\...\MountPoints2: {1c0974c6-fecb-11e9-abab-f46d04de51df} - E:\HiSuiteDownLoader.exe HKU\S-1-5-21-578529663-3040081872-3248628553-500\...\MountPoints2: {1c0974c6-fecb-11e9-abab-f46d04de51df} - E:\HiSuiteDownLoader.exe CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] CHR HKLM-x32\...\Chrome\Extension: [fbgiiajhkmfpcfkdlfbbicfgkaaidfop] CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] 2016-08-10 16:02 - 2016-08-10 16:02 - 000041872 _____ () C:\Users\Администратор\AppData\Local\Bron.tok.A9.em.bin MSCONFIG\startupreg: MailRuUpdater => C:\Users\Администратор\AppData\Local\Mail.Ru\MailRuUpdater.exe End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
r23_23 0 Опубликовано 19 января, 2020 Автор Share Опубликовано 19 января, 2020 fix Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 19 января, 2020 Share Опубликовано 19 января, 2020 Достаточно было один раз выполнить фикс, а не трижды. Напоминаю: Смените пароли на RDP и на учетную запись администратора. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на сообщение Поделиться на другие сайты
r23_23 0 Опубликовано 20 января, 2020 Автор Share Опубликовано 20 января, 2020 Пароли и порт, сменили , уязвимости закрыли, вариант расшифровать файлы есть вообще ? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 января, 2020 Share Опубликовано 20 января, 2020 Вероятно вы не заметили, я в начале ещё сказал: С разархивацией помочь не сможем Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти