Ситуация следующая. На диске с файлами поработал вирус, было три папки с файлами(базы 1с), они лежат на месте одна из баз полностью убита(вес - 0 кб), две остальные нормальные рабочие, рядом с тремя папочками поселился архив(зашифрованный, в котором те же три папки) а так же текстовый файлик с именем "ВАЖНО!!!!!!" с содержанием "Внимание! Ваши базы данных заархивированы с паролем, использование их невозможно.Для получения пароля к архиву от вас требуется оплата 15000р на Яндекс деньги. При согласии напишите на почту [email protected]." Третья база очень важна. Помогите пожалуйста!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) denis1404, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ситуация мутная. В общем у нас сеть из 10 компьютеров, был сис. админ, возможно он повздорил с начальством и уволился прислал при этом одному из сотрудников сообщение что он мол отключит фаервол который написан им самим, его мол ноу хау... Буквально на следующий день происходит ситуация с базами... Работники сети это люди которые явно не любители посещения сомнительных ресурсов...(женщины старше сорока...), В общем есть подозрение что сис админ решил насолить... Но как это докажешь, а база нужна для работы.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v384c
breg
addsgn 9AED77C855824D720BD46D72244F5C6C0A1FC71135F0211B8A7B0DA28C0887947F91B3457BCE8626F5D14C9D8B0D16B99E42100BFAF0E8D2FB033C3A04FD91B9 8 Trojan-Spy.Win64.KeyLogger [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\LNKMST.EXE
bl 21C08E4A34F78749F6EEB08C010A0899 822600
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\LNKMST.EXE
addsgn 9AED170755824D720BD46D723A2C62AF4429F710BB0D06A14EE2F92077FF650DB2243F26909985FC0F6185EC8E658DE8CDF1B87B9D9A3B00D213E9D7DF4554BB 8 Monitor.Win64.Mikpo.a [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMMT.EXE
bl AA6E9CF97DE2297ED61E339DD9090C65 1986352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMMT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMVLT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMVLT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BACKUP.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER1\РАБОЧИЙ СТОЛ\WEBSURF.LNK
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\WEBSURF.RU
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP
dirzoo %SystemDrive%\RECYCLER
delall %SystemDrive%\RECYCLER\2.BAT
delall %SystemDrive%\RECYCLER\PATH.BAT
delall %SystemDrive%\RECYCLER\S.BAT
delall %SystemDrive%\RECYCLER\WINLOGON.EXE
chklst
delvir
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v384c
breg
addsgn 9AED77C855824D720BD46D72244F5C6C0A1FC71135F0211B8A7B0DA28C0887947F91B3457BCE8626F5D14C9D8B0D16B99E42100BFAF0E8D2FB033C3A04FD91B9 8 Trojan-Spy.Win64.KeyLogger [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\LNKMST.EXE
bl 21C08E4A34F78749F6EEB08C010A0899 822600
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\LNKMST.EXE
addsgn 9AED170755824D720BD46D723A2C62AF4429F710BB0D06A14EE2F92077FF650DB2243F26909985FC0F6185EC8E658DE8CDF1B87B9D9A3B00D213E9D7DF4554BB 8 Monitor.Win64.Mikpo.a [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMMT.EXE
bl AA6E9CF97DE2297ED61E339DD9090C65 1986352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMMT.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMVLT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP\TMVLT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BACKUP.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER1\РАБОЧИЙ СТОЛ\WEBSURF.LNK
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\WEBSURF.RU
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ZIP
dirzoo %SystemDrive%\RECYCLER
delall %SystemDrive%\RECYCLER\2.BAT
delall %SystemDrive%\RECYCLER\PATH.BAT
delall %SystemDrive%\RECYCLER\S.BAT
delall %SystemDrive%\RECYCLER\WINLOGON.EXE
chklst
delvir
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В карантине ничего интересного я не нашел. С расшифровкой помочь не сможем.
Подскажите, вот мы вышли на контакт с этим злым гением, он говорит что ему надо предоставить внешний ip адрес, чтобы он мог прислать на почту пароль от архива? Вы могли бы пояснить по какому параметру он стучась по внешнему ip понимает что этот тот сервер которому соответствует этот пароль? Просто хочу понять в этом есть какой то смысл или это тупо развод...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: