Показано с 1 по 16 из 16.

Беда пришла и а наш дом. (заявка № 202123)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31

    Беда пришла и а наш дом.

    Подвергся атаке(явно целенаправленной) комп бухгалтера.
    Итого был модернизирован код банк-клиента. Банк - Хантымансийский-Открытие.
    Банк клиент на основе BCC.
    Начался подмен реквизитов в платёжках которые импортируются из файла (файл.txt - выгрузка из 1С)

    В систем центре был отлов некого вируса и сразу же его удаление - совершенно не понятно что являлось причиной чего и картину происходящего пока толком не установили.
    Началось всё 11.07.16 - заметили 12.07.16.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Rainmib, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Users\E.Ivanova\bCzugbVxBeWVwJ.exe','');
     DeleteFile('C:\Users\E.Ivanova\bCzugbVxBeWVwJ.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - Startup: Argos.lnk = C:\Users\E.Ivanova\bCzugbVxBeWVwJ.exe
    Прокси ваш?

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = radugagw:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 192.168.*.*;radugagr;radugacr;raduga-dc01.lab.raduga.neva.ru;raduga-dc01;*.lab.raduga.neva.ru;<local>
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    Файла не существует.
    HJ - пофиксил.
    Неужели кто то знал что на компе стоит Аргос для сдачи отчётности и подделал под него вредоносный код?
    Вообще ничего не понятно из области как могло произойти такое заражение. Как мог быть получен удалённый доступ и главное как он выглядит?
    или это вмешательство из консоли?
    За компом постоянно появляются левые люди то консультант плюс обносить то 1С обновить то что то ещё. Даже удалёнка для 1С программистов есть.

    - - - - -Добавлено - - - - -

    Прокся radugagw моя, но машина выходит в интернет по другому каналу - это как запасной канал.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Новые логи после выполнения скрипта где?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    логи
    Вложения Вложения
    Последний раз редактировалось thyrex; 14.07.2016 в 11:35.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    Я выяснил что это за зверь был, а может и остался жить вопрос на этой машине или нет.
    Это Buhtrap - разработан серьёзными людьми и страдают от них тоже повзрослому.
    Были взломан банк-клиент системы BSS. Метод заражения - почтовые вложения разнообразнейшего содержания.
    UVS отработаю, спасибо.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Жду лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    лог

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    uVS v3.74: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
    Скажите, Вы всегда делаете все по своему? Вам дали ссылку на утилиту, но нет нужно было все по своему сделать, и скачать заведомо устаревшую версию uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    Не могу вложить новый лог - вложение превысило допустимый размер вложений.
    А он всего то 616кб

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Удалите старые вложения Мой кабинет => Вложения
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    Лог
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Логи в порядке, а вот антивируса в системе похоже нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #16
    Junior Member Репутация
    Регистрация
    03.09.2008
    Сообщений
    33
    Вес репутации
    31
    system center 2012 endpoint protection

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ой беда, беда
    От Курлов Антон в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 31.05.2011, 12:50
  2. Ответов: 0
    Последнее сообщение: 25.11.2009, 22:06
  3. Ответов: 1
    Последнее сообщение: 10.10.2009, 20:01
  4. Ответов: 1
    Последнее сообщение: 04.06.2009, 02:49
  5. Ответов: 12
    Последнее сообщение: 30.10.2006, 17:10

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00011 seconds with 22 queries