HDNw784@&$83fNVEWNnedNAWNDnf7
Еще один пароль
Printable View
HDNw784@&$83fNVEWNnedNAWNDnf7
Еще один пароль
[QUOTE=Олег Колесник;992279]Мои соболезнования , но вряд ли тебе кто то поможет ((( если инфа ценная то нужно заплатить ,хотя я понимаю что таким платить нельзя но выбора особого нет , и к стати как ты подмотал сие ?? на сервак или просто на комп , RDP был на серваке , если это на серваке ?[/QUOTE]
Сервак W2003
Rdp - есть
Шары - нет
Как попало так и не вычеслил, журналы вычещены......
Поймали lockdir 5.7
На диске д было две папки ПАПКА1 и ПАПКА2.....Внутри папок лежали базы.
Утро. Пропадает доступ к базам...на диске д появляется lockdir.exe....ПАПКА1 и ПАПКА2 помечаются замками.Доступ к папкам закрыт.
Мои действия.
1. Вырубили сервер.
2. Отрубили от локалки.
3. Включаем сервак.......получаем NTDLR is missing ....Во блин...
4. Востанавливаем NTDLR...(процедуру ищите в инете)
5. Запускаем сервак....
6. ставим 7zip 9.2
7. Открываем ПАПКА1 через 7zip......И вот блин повезло!!!!!....Видим Файлы базы....
8. Копируем на флеху...
9. Подключаем на другом серваке.....ФУУУХ работает.
P.S.
NTDLR is missing выскакивал каждый раз при перезагрузке сервака...
Лохмандеи просили 3900 рублей.
P.P.S
У нас второй случай (на разных фирмах). В первом случае помог один из кодов в теме.
[QUOTE=dimeusss;992352]Сервак W2003
Rdp - есть
Шары - нет
Как попало так и не вычеслил, журналы вычещены......
Поймали lockdir 5.7
На диске д было две папки ПАПКА1 и ПАПКА2.....Внутри папок лежали базы.
Утро. Пропадает доступ к базам...на диске д появляется lockdir.exe....ПАПКА1 и ПАПКА2 помечаются замками.Доступ к папкам закрыт.
Мои действия.
1. Вырубили сервер.
2. Отрубили от локалки.
3. Включаем сервак.......получаем NTDLR is missing ....Во блин...
4. Востанавливаем NTDLR...(процедуру ищите в инете)
5. Запускаем сервак....
6. ставим 7zip 9.2
7. Открываем ПАПКА1 через 7zip......И вот блин повезло!!!!!....Видим Файлы базы....
8. Копируем на флеху...
9. Подключаем на другом серваке.....ФУУУХ работает.
P.S.
NTDLR is missing выскакивал каждый раз при перезагрузке сервака...
Лохмандеи просили 3900 рублей.
P.P.S
У нас второй случай (на разных фирмах). В первом случае помог один из кодов в теме.[/QUOTE]
ПОВЕЗЛО , у нас все файлы были зашифрованы 256 битным ключом , поэтому папки достать можно было но в нутри все файлы были вот такого вида 2546852158754354.RN посиму борода (((
А RDP был доступен по инету из вне ???
Lockdir идентификатор 476592 [url]http://virusinfo.info/showthread.php?t=137036[/url] ни один из кодов не подошел(((
Номер 128596 на мыло [email][email protected][/email]
Версия 5.6.0.95
Увы ни 1 ключ с топика не прокнул =(
Редиски хотят 3.5к рэ.
Ох чую придется платить(((
[CODE]759503974648jfbryrujh^$$%^&*))^$@@%&*()jdnfhfjkfkj[/CODE]
Вычислили одну закономерность.... У нас 3 клиента пострадало от этой заразы. 2м подошли ключи с топика, 1му востановили с помощью 7zip 9.2..... Так вот... Все клиенты по той или иной причине (разработчики 1с, админы, и т.п. передавали пароли от рдп по маил. ру в открытом виде (в теле письма)... Будьте внимательны, возможно письма мониторят!!!!!
P.S.
Мы на всякий який всем поставили доп машинки с sql-ми...загнали туда наши 1сные базы и закрыли доступы (шары и рдп)....Получили один сервак терминальный, второй - базы в sql-ке. + бекапирование силами sql с отчетами по почте.
У меня таже фигня, вчера на работе запускаю 1с а мне выдаёт всем известную фразу .........выход есть, оторвать бы этому красаве что нибудь, и так чтоб помучался......
Помогите кто может, перепробовала все коды, результат 0, денег таких нет платить, а отчёты на носу и что делать незнаю:sos::sos::sos::sos::sos::sos::sos::sos::sos::sos:
[COLOR="silver"]- - - Updated - - -[/COLOR]
Номер 268152 на мыло [email protected]
вот ключ для 159753
помогли ребята с [URL]http://i-s.kiev.ua/vosstanovit-fayli-lockdir-exe.html[/URL]
правда пришлось бабла отстегнуть.... но выхода не было.... ((
всем пострадавшим - соболезнования
SDVNurh74HVSKnvSVNDJnrsvsNSJVvs
Ребята помогите, я просто в ауте ..........
[QUOTE=milla-vel;993943]Ребята помогите, я просто в ауте ..........[/QUOTE]
не удаляй файлы lockdir.exe и system.db
лучше пока вообще ничего не трогай
обращайся к хлопцам (см. пост выше)
на dr.web, ответили ''Ваш запрос был проанализирован. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.''
НУ помогите пожалуйста, как что и куда отправить я на форумах новичок:sos::sos::sos:
привет. ага такая же история. с такимже паролем. дешифратотор нашли? если нашли под поделитесь плиз
[QUOTE=Ak'a;990581]Вот еще один номер в системе 628152 JVEMm38fmnS*38f3#&nmfSMEVMr&e
4500р
Ключ подошел, но расшифровались не все файлы.[/QUOTE]
[B]Tlonik[/B]
Огромное спасибо!!! За помощь!!! Расшифровал более 100 Гб зашифрованной информации lockdiroм: 1С и т.д
:)
ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???
[QUOTE=milla-vel;995813]ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???[/QUOTE]
Я их тоже вытащил тотал коммандером, а смысл?... Без ключа дела не будет...
Ваш id из файла Выбор есть.jpg укажите плиз, чем смогу помогу
[QUOTE=Rogue.Daev;993129]Номер 128596 на мыло [email][email protected][/email]
Версия 5.6.0.95
Увы ни 1 ключ с топика не прокнул =(
Редиски хотят 3.5к рэ.
Ох чую придется платить((([/QUOTE]
Ну вот у нас еще один клиент, с такой же фигней как у вас.....Успели выключить сервак...Ломали при нас...ПО РДП...
Сервак успели вырубить...файлы достали 7zip-ом....
На серваке нашли много интересного...выложу позже....
IP с которого ломали...89.237.30.41 Провайдер в Челябинске.... дальше попробуем найти.... БЕГИ ПАРЕНЬ БЕГИ!!!!!!!
[QUOTE=azubrilov78;995940]Ваш id из файла Выбор есть.jpg укажите плиз, чем смогу помогу[/QUOTE]
Номер 628152 на мыло [email][email protected][/email]
[QUOTE=dimeusss;995960]Ну вот у нас еще один клиент, с такой же фигней как у вас.....Успели выключить сервак...Ломали при нас...ПО РДП...
Сервак успели вырубить...файлы достали 7zip-ом....
На серваке нашли много интересного...выложу позже....
IP с которого ломали...89.237.30.41 Провайдер в Челябинске.... дальше попробуем найти.... БЕГИ ПАРЕНЬ БЕГИ!!!!!!![/QUOTE]
вряд ли вычислишь, мы после этого доступ по РДП напрямую закрыли, теперь только через ssh туннель
рекомендую еще перепроверить юзерские учетки, недопустимо, чтобы кто-нибудь из юзеров имел полномочия администратора, а ведь такое случается...
[QUOTE=Tlonik;996005]вряд ли вычислишь, мы после этого доступ по РДП напрямую закрыли, теперь только через ssh туннель
рекомендую еще перепроверить юзерские учетки, недопустимо, чтобы кто-нибудь из юзеров имел полномочия администратора, а ведь такое случается...[/QUOTE]
Ха...самое интересное...
1. Пользователь не имел админских полномочий....был в группе юзеры и уд.раб. стол.При этом ничего не помешало стартануть lockdir.
2. Вход по рдп был выполнен под активным пользователем ... Попался адекватный пользователь-сразу набрал админов...
3. Далее пару попыток зайти на сервер сопровождались входом из вне...
4. На рабочем столе из вне ВРУЧНУЮ запустили lockdir....и скриптик рукописный , который вычищает по таймеру логи журнала (что бы можно было выйти и почистить следы).Скриптик видимо сработать не успел....В логах нашли ip-шник.
5. Судя по характеру зашифрованных папок шифровали выборочно...Сначала папку Бухгалтерия...потом папка Базы...Документы....Эти папки были зашифрованы до состояния расширения RN (тут уже 7zip не помог). Папка с базой была зашифрована но только до начальной папки (файлы удалось достать 7zip-ом). Остальные папки не тронули (или не успели тронуть).
Нас тож побил 128596 [email][email protected][/email]
не подскажете кто какие кода вбивает, все перепробовал ничего не помогло, думаю надо собиратся и писать дешифратор...:O
Принимайте ключ для 347689 / [EMAIL="[email protected]"][email protected][/EMAIL]
заражение от 23.04.2013
zFM485*$ng4884n5a*%Gnenrenere8ne
пришлось таки купить...
Если кому подойдет - киньте что-нибудь на Яндекс.Деньги 410011864285802
кстати, забрались тоже с 89.237.30.41
[QUOTE=milla-vel;995813]ФАЙЛЫ Я СМОГЛА ВЫТАЩИТЬ, НО ВСЕ ФАЙЛЫ ИДУТ С РАСШИРЕНИЕМ RN, У КОГО ПОЛУЧИЛОСЬ ИХ РАСШИФРОВАТЬ???[/QUOTE]
Установите Far Manager 3.0 на компьютер,зайдите через него в скрытую папку tumbs.ms/и скопируйте файл system.db. Запакуйте его WinRar и пришлите мне полученный архив на e-mail:[email protected]!!!:)
Вот интересно - два года товарищ [email][email protected][/email] бросает вирусы и никто даже не забанил его ящик - почему :(
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Вопрос к тем кто отбивался - по РДП подбирался пароль или есть дырка через которую могли проникнуть. Не хотелось бы тоже подловиться на такую бяку. Спасибо
Скорее всего этот товарищ использовал прогнамму e-mail robot,для генерации любого количества почтовых ящиков с последующей пересылкой на свой реальный скрытый ящик
Спасибо тебе брат, три дня уже бъюсь. подощел пароль, закину тебе бабло на яндекс!!!
[QUOTE=SpacerWS;996545]Принимайте ключ для 347689 / [EMAIL="[email protected]"][email protected][/EMAIL]
заражение от 23.04.2013
zFM485*$ng4884n5a*%Gnenrenere8ne
пришлось таки купить...
Если кому подойдет - киньте что-нибудь на Яндекс.Деньги 410011864285802
кстати, забрались тоже с 89.237.30.41[/QUOTE]
////
[quote="mtvitalik;996835"]Внимание! У кого номер в системе 128596 и E-mail: [email][email protected][/email]
ключ HFefheSEHfwef4WNFWEhfsdSDFSH45n3[/quote]
Помогите,у меня номер 247501!
Нужен срочно ключ к моей системе,компьютер на роботе.
вирус забрал все папки к 1С.Шев сказал что нафиг всех уволит если не избавимся от вируса:(
Пришлите мне файл из скрытой папки tumbs.ms\system.db (видно через FarManager 3.0)!!!
Добрый день, всем!!
Люди помогите на сервере завелась зараза как lockdir, пришли после праздников на работу и все началось с того что не можем зайти в 1С, при входе попадаем в папку с красным замочком и рядышком jpg файл "выход есть"........ номер в системе 628152 електронка [EMAIL="[email protected]"][email protected][/EMAIL]m , ключи перепровал все не подходят
[QUOTE=ZooMMakeR;997714]Помогите,у меня номер 247501!
Нужен срочно ключ к моей системе,компьютер на роботе.
вирус забрал все папки к 1С.Шев сказал что нафиг всех уволит если не избавимся от вируса:([/QUOTE]
Скиньте мне плиз файл из скрытой папки tumbs.ms/system.db (войти в папку можно только под FarManager 3.0)!!! Также 1 из зашифрованных файлов с расширением RN!
Помогли тут! i-s.kiev.ua
Все быстро сделали и вытащили все без потери данных и баз!
Обращайтесь!
всем привет!
Lockdir 5.6.0.95 убил шару, ссылка на файлы:
[URL]http://rghost.ru/46013235[/URL]
код в системе 769586 на мыло [EMAIL="[email protected]"][email protected][/EMAIL]
помогите плиз, 4 танцую с бубном :(
Доктор ВЭБ написал, что пароль - 29 символов, за разумное время не подобрать.
из списка не работают!
Помогите пожалуйста с вирусней.
Заранее спасибо, код в системе 769586
Доброго времени суток!
Прошу помощи с lockdir
128596 почта [email][email protected][/email]
нашел также непонятный текстовый файлик может кто скажет что это!
[ATTACH]419832[/ATTACH]
[ATTACH]419833[/ATTACH]
[ATTACH]419831[/ATTACH]
[QUOTE]Доброго времени суток!
Прошу помощи с lockdir
128596 почта [email][email protected][/email][/QUOTE]
такая же история:( из списка паролей ничего не подходит.
Зашифрованный файл и system.db в архиве.
VSbnvsn3*$VN#NvsVSenveV#*vnSE89d
пароль от [email][email protected][/email] код 159753
пришлось купить. цена вопроса 4500р.
Пришлось купить.
Надеюсь поможет кому нибудь код:
SV8vnV*$#nvbvseV̏(#*vvbe74bvE от 769586
410011421107080 мой яндекс кошелек если кому поможет и захочет сказать спасибо)
Главное больше не попадаться на такую херь.