Показано с 1 по 20 из 20.

1c запароленные базы в WinRar (заявка № 182508)

  1. #1
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25

    1c запароленные базы в WinRar

    Добрый день.
    На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
    DRweb и KVP ничего не находят.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Vulgarius, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt.exe');
     QuarantineFile('c:\windows\syswow64\mtmonitor\tmz.dll', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '32');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '32');
     DeleteFile('c:\windows\syswow64\mtmonitor\tsynchost.exe', '32');
     DeleteFile('c:\windows\syswow64\mtmonitor\tmz.dll', '32');
     DeleteService('MainTSyncHost');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteSysClean;
    end.
    Перезагрузите сервер вручную.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого они были не по делу - необходимо отобрать права администратора.

    Пробуйте восстановить базы из теневых копий - проверяйте в свойствах папок на вкладке "Предыдущие версии". Но злоумышленники могли и отключить эту возможность.
    WBR,
    Vadim

  5. Vvvyg получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Сделал полный образ автозапуска
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.85.20 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    del %Sys32%\DRIVERS\SOLDISK.SYS
    delref %Sys32%\DRIVERS\SOLDISK.SYS
    del %Sys32%\DRIVERS\SOLFS.SYS
    delref %Sys32%\DRIVERS\SOLFS.SYS
    delall %SystemRoot%\SYSWOW64\MTMONITOR\TMVLT.EXE
    delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
    deldir %SystemRoot%\SYSWOW64\MTMONITOR
    Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
    Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
    Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
    Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx
    Перезагрузите сервер
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Я все делаю по инструкции но файл Events.7z весит 1 кб это нормально?

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Что-то не так.
    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Последний раз редактировалось Vulgarius; 30.04.2015 в 10:22.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Не вижу вложения.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Последний раз редактировалось Vulgarius; 30.04.2015 в 11:18.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Ладно, просто сохраните журналы событий "Приложение", "Безопасность" и "Система" как файлы событий (*.evtx), упакуйте покрепче, и на rghost.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    вот
    http://rghost.ru/7cGX4Czcc
    Вложения Вложения
    Последний раз редактировалось Vulgarius; 30.04.2015 в 13:36.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Судя по всему, долбили целенаправленно ещё с середины апреля, видно по множеству попыток неудачного входа по ночам.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установите политиками минимальную длину пароля хотя бы 5 символов, желательно срок действия павроля ограничить месяцем или двумя хотя бы.
    Переименуйте стандартную учётную запись администратора, через неё, вероятнее всего и взломали.

    Установите все доступные обновления для системы.

    Организуйте систему резервного копирования так, чтобы бэкапы не были доступны всем учётным записям на сервере, кроме одной, под которой работает программа резервного копирования.

    Базы восстановили в результате? Теневые копии помогли?
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Спасибо за обнаружение дыры.

    нет, не восстановили как это сделать?Как восстановить теневые корпии?Как найти пароль?
    Спасибо за ответ.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Пароль найти/подобрать нереально.
    По теневым копиям я писал в конце сообщения #3.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    у нас она была отключена.
    Может есть другой способ?

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Теневые копии зачем отключали? Самый простой и при этом встроенный в систему способ восстановить систему и данные...
    Видел по журналам, что множество программ восстановления данных перепробовали. Пожалуй, вариантов нет. Резервных копий что, совсем не было?

    Урок, надеюсь усвоили, больше помочь нечем.
    WBR,
    Vadim

  20. #18
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    25
    Спасибо !!

    - - - - -Добавлено - - - - -

    а если удалить фаил из архива Его можно будет восстановить?

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    WBR,
    Vadim

  22. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Vulgarius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Запароленные архивы Winrar в c-sistem32
      От nbnfy в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.02.2011, 23:13
    2. Ответов: 4
      Последнее сообщение: 17.02.2011, 20:28
    3. «Лаборатория Касперского» расшифрует файлы, запароленные троянцем
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 21.03.2010, 12:54
    4. Cureit открывается winrar
      От kabilov в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.04.2009, 13:15
    5. Множественные уязвимости в WinRAR
      От ALEX(XX) в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 20.03.2008, 17:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00984 seconds with 22 queries