Показано с 1 по 19 из 19.

Lockdir.exe - &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a m (заявка № 159518)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14

    Lockdir.exe - &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a m

    Тема поднималась, решения пролемы не нашел. Перебирал пароли которые были в теме : http://virusinfo.info/showthread.php...l=1#post892546.
    Итак:
    После праздников файлы на пк были зашифрованы. Также все время работает процесс wasppacer (причем когда только воткнул интернет - заработала программа wasppacer - я не знаю что это, отключил интернет на всякий)
    Ситуация выглядит так, как будто кто то подключился - поставил по и спокойно отключился... Зайдя через far manager - увидел скрытые папки - в них висят все данные но с расширением .rn, В свойтвах они как системные, если снять - то становятся видимы в системе.
    Можете помочь расшифровать данные? (или преобразовать из расширения .rn) и избавить от процесса wasppacer?
    логи avz и hijackThis прилагаются.
    Могу приложить зашифрованный фаил (просто он не копируется на флешку, не хочет. Можно его скопировать через фар и то он на пол пути ошибку дает, но что-то все таки скопирует)
    Вложения Вложения
    Последний раз редактировалось Sheykom; 13.05.2014 в 10:50. Причина: Добавление текста про зашифрованный файл

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Sheykom, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    TeamViewer ваш?

    По Lockdir подробности нужны, сообщение вымогателя хотя бы.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    TeamViewer наш был. сообщения вымогателя могу скинуть - фото приложил


    Цитата Сообщение от Vvvyg Посмотреть сообщение
    По Lockdir подробности нужны.
    простите, что нужно?
    Изображения Изображения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     TerminateProcessByName('c:\recycle.bin\winlogon.exe');
     TerminateProcessByName('c:\recycle.bin\wasppacer.exe');
     TerminateProcessByName('c:\users\terminal\appdata\local\temp\5\jp\rfusclient.exe');
     TerminateProcessByName('C:\Program Files\Intel\DMIX\Hlp\MPK.exe');
     QuarantineFile('C:\Program Files\Intel\DMIX\Hlp\MPK.dll','');
     QuarantineFile('c:\recycle.bin\winlogon.exe','');
     QuarantineFile('c:\recycle.bin\wasppacer.exe','');
     QuarantineFile('c:\users\terminal\appdata\local\temp\5\jp\rfusclient.exe','');
     QuarantineFile('C:\Program Files\Intel\DMIX\Hlp\MPK.exe','');
     DeleteFile('C:\Program Files\Intel\DMIX\Hlp\MPK.exe','32');
     DeleteFile('c:\users\terminal\appdata\local\temp\5\jp\rfusclient.exe','32');
     DeleteFile('c:\recycle.bin\wasppacer.exe','32');
     DeleteFile('c:\recycle.bin\winlogon.exe','32');
     DeleteFile('C:\Program Files\Intel\DMIX\Hlp\MPK.dll','32');
     DeleteFileMask('c:\recycle.bin','*',true);
     DeleteFileMask('C:\Program Files\Intel\DMIX','*',true);
     DeleteDirectory('c:\recycle.bin');
     DeleteDirectory('C:\Program Files\Intel\DMIX');
    BC_ImportDeletedList;
    ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteWizard('TSW',3,3,true);
    BC_Activate;
    end.
    Перезагрузите сервер вручную.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Смените пароли администраторских учётных записей, от баз данных.
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Доброе утро, простите что вчера не сделал, рабочий день закончился, а из дома забыл..

    Сделал как написали: 1 скрипт - перезагрузился - 2скрипт. quarantine.zip - отправил.

    2 стандартный срипт вложил
    Вложения Вложения
    Последний раз редактировалось Sheykom; 14.05.2014 в 07:50.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
     TerminateProcessByName('c:\users\terminal\appdata\local\temp\5\jp\rutserv.exe');
     DeleteFile('c:\users\terminal\appdata\local\temp\5\jp\rutserv.exe','32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    end.
    Перезагрузите сервер вручную.

    Ещё раз смените пароли, сервер был под удалённым управлением злоумышленника.

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

    Чтобы не повторяться - выполните рекомендации отсюда. Особое внимание -файрволу и антивирусу, при правильных настройках этих компонентов защиты взлом снаружи, так скажем, будет весьма затруднён.

    Не успел сохранить картинку по Lockdir, а из вложений она пропала - по адресу e-mail вымогателя можно попробовать поискать варианты дешифровки (хотя вряд ли, сразу предупреждаю).
    WBR,
    Vadim

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Скрипт выполнил. Пароль снова поменял. Образ сделал.


    Прошел по рекомендациям:
    Включить в антивирусе противодействие потенциально нежелательным программам - не нашел((

    Брандмауэр был выключен, почему-то, когда все произошло. Сейчас включил, доступ разрешн только по 2м портам. Может подкинете статейки, как правильно настраивать, я в этом не особый специалист((

    Возможность восстановить информацию мало, я так понимаю?
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Sheykom; 14.05.2014 в 10:07.

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Пробуйте код
    Код:
    zFM485*$ng4884n5a*%Gnenrenere8ne
    но надежды мало. Сохраните один из экземпляров lockdir.exe для дальнейших экспериментов где-нибудь, упаковав в архив, дальше вычистим его.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.82.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    
    ; C:\USERS\АДМИНИСТРАТОР\НОВАЯ ПАПКА\WASPPACER.EXE
    addsgn 9252778A366AC1CC0BD4734EA34F0E79028AEA4128B348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 24 Win32/Wasppacer.A [ESET-NOD32]
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\НОВАЯ ПАПКА\WASPPACER.EXE
    ; C:\USERS\АДМИНИСТРАТОР\DOWNLOADS\777\2.EXE
    addsgn 9252770A036AC1CC0B54474EA34FB6953F8AD39745A648F1604E5998D0178EB312D7936EE220660F6DD3ECD46D3649ADFE1CEC213D700F252D2127ECC35572B4 24 Tool.ClearLogs.1 [DrWeb]
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DOWNLOADS\777\2.EXE
    ; D:\KAV6_UPDATE\LOCKDIR.EXE
    addsgn 9252776A0A6AC1CC0BF44E4EA34FEAEC3A8A97F81BDA48F1604E5998D0178EB312D7936EE220660F6DD3ECFC513A49ADFE1CEC213D10FD202D2127ECC35572B4 24 Trojan.FolderLock.3 [DrWeb]
    
    zoo D:\KAV6_UPDATE\LOCKDIR.EXE
    ; D:\BACKUP_OPACGLOBAL\LOCKDIR.EXE
    ; D:\BCKUP МОДЕМА ASUS\LOCKDIR.EXE
    ; D:\FULLTEXT\LOCKDIR.EXE
    ; D:\SUPPORT\LOCKDIR.EXE
    ; D:\КАСПЕРСК\LOCKDIR.EXE
    ; C:\ОБМЕН\LOCKDIR.EXE
    ; C:\BACKUP\LOCKDIR.EXE
    ; C:\USERS\АДМИНИСТРАТОР\DESKTOP\АРХИВ БАЗ ОПАК 271113\LOCKDIR.EXE
    chklst
    delvir
    delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\WINVNC.EXE
    czoo
    quit
    Программа закроется, перезагрузка не требуется.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В терминологии Антивируса Касперского скрыто установленные на сервере программы относятся к "потенциально опасному ПО (riskware)", как включить борьбу с ним, смотрите в этой статье/1526. Кстати, и проактивная защита может помочь в таих ситуациях.
    Программу удалённого управления и кейлоггер, которые у вас удалили, продукты Касперского определяют как
    not-a-virus:RemoteAdmin.Win32.Agent.lr и not-a-virus:Monitor.Win32.KGBSpy.cg соответственно. Wasppacer попробую отослать им отдельно, чтобы добавили в базы.

    Что касается статей, как настраивать брандмауэр и систему безопасности вообще - навскидку не дам ссылок, читайте книги по компьютерной безопасности и системному администрированию, а главное - постарайтесь осознать угрозы и то, откуда они могут исходить. Ну, и про бэкапы не забывайте.
    WBR,
    Vadim

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Код не подошел( Скрипт выполнил - загрузил

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Ещё один детект от касперского: not-a-virus:RiskTool.Win32.LockDir.c

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  17. #12
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Выполнил - Найденных уязвимостей не обнаружено.

    Заметил, что удалилась программа запроса кода для расшифровки. и ушел процесс WASPPACER - за что благодарен, а то меня уже дергают мол хрен с ним сноси систему и ставь заново.
    Последний раз редактировалось Sheykom; 14.05.2014 в 13:48.

  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Могу только отослать к рекомендациям после лечения.
    WBR,
    Vadim

  19. #14
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    т.е. смысла восстанавливать (расшифровывать файлы) нет? можно просто удалять и возобновлять работу?

  20. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    На всякий случай сохраните где-то.
    А утерянные файлы хороший админ восстанавливает из вчерашнего бэкапа
    Кстати, если восстановление системы включено, можно попробовать вернуть файлы через него.
    WBR,
    Vadim

  21. #16
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Я видимо плохой админ=(, бэкапов нет, а те что есть, кто их делал не знаю, - они зашифрованы. Сейчас смотрел логи пк, там тип этот, конечно ломился в систему нещадно, столько раз пробывал подрубиться.... скажите есть версии как он мог подключиться?

  22. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,575
    Вес репутации
    836
    Бэкапы должны делаться на другое устройство, желательно сетевой ресурс, который в явном виде, как сетевой диск, недоступен под учёткой, в которой работаете на сервере. Например, сетевое хранилище, на нём отдельная учётка для бэкапов и раздел, доступный на запись, только под ней. А на сервере под этим пользователем работает программа, делающая резервные копии, например, Cobian Backup 11 хорошо для такой задачи подходит. Работает с теневыми копиями, как сервис, жмёт крепко в .7Z.

    По поводу проникновения - смотрите логи, Вам лучше знать, каким образом открыт снаружи доступ к серверу. Самые распространённые варианты - по RDP, через уязвимости или подбор пароля WEB-сервера, SQL-серверов, через подсаженый бэкдор. Последний вариант - вполне вероятен, удалённое администрирование было.
    WBR,
    Vadim

  23. #18
    Junior Member Репутация
    Регистрация
    13.05.2014
    Адрес
    Ростов-на-Дону
    Сообщений
    13
    Вес репутации
    14
    Спасибо большое за помощь, за потраченное время! и за разъяснения!

  24. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\intel\dmix\hlp\mpk.dll - not-a-virus:Monitor.Win32.KGBSpy.cg ( DrWEB: Program.KgbSpy.38 )
      2. c:\program files\intel\dmix\hlp\mpk.exe - not-a-virus:Monitor.Win32.KGBSpy.do ( DrWEB: Win32.HLLW.MyBot.8386, BitDefender: GenPack:Backdoor.Rbot.YEF )
      3. c:\users\terminal\appdata\local\temp\5\jp\rfusclie nt.exe - not-a-virus:RemoteAdmin.Win32.Agent.lr


  • Уважаемый(ая) Sheykom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. lockdir "выход есть"
      От Shadowdancer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.06.2013, 20:40
    2. Ответов: 6
      Последнее сообщение: 24.12.2012, 23:51
    3. И снова вирус "выход есть" или lockdir.exe
      От kvazartir в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2012, 21:33
    4. lockdir.exe ("Выход есть") Прошу помощи!
      От DemX в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.02.2012, 19:21
    5. Ответов: 1
      Последнее сообщение: 16.01.2012, 09:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01020 seconds with 17 queries