-
Student (P)
- Вес репутации
- 47
Шифровальщик [email protected] на Win Serv 2003 [not-a-virus:NetTool.Win32.Wasppace.n
]
Добрый день, вот только недавно я обращался по поводу шифровальщика nikosdd, в одной организации. И спустя месяц они славливают второй. расширения меняет на .nkopc
Уже и rdp порты закрыл, и права всем впрошлый раз настроил, непонятно откуда они лезут. К сожалению могу сделать логи только через rdp.
P.S. как можно оследить откуда лезут они ? из локалки могут ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) botogen, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Buhgalter\Local Settings\Temporary Internet Files\Content.IE5\M5YLM3GB\6[2].exe','');
TerminateProcessByName('c:\docume~1\buhgal~1\locals~1\temp\1\wiupdat.exe');
QuarantineFile('c:\docume~1\buhgal~1\locals~1\temp\1\wiupdat.exe','');
TerminateProcessByName('c:\documents and settings\buhgalter\windows\system\wasub.exe');
QuarantineFile('c:\documents and settings\buhgalter\windows\system\wasub.exe','');
TerminateProcessByName('c:\documents and settings\buhgalter\windows\system\wasppacer.exe');
QuarantineFile('c:\documents and settings\buhgalter\windows\system\wasppacer.exe','');
TerminateProcessByName('c:\documents and settings\buhgalter\windows\system\waagent.exe');
QuarantineFile('c:\documents and settings\buhgalter\windows\system\waagent.exe','');
DeleteFile('c:\documents and settings\buhgalter\windows\system\waagent.exe','32');
DeleteFile('c:\documents and settings\buhgalter\windows\system\wasppacer.exe','32');
DeleteFile('c:\documents and settings\buhgalter\windows\system\wasub.exe','32');
DeleteFile('c:\docume~1\buhgal~1\locals~1\temp\1\wiupdat.exe','32');
DeleteFile('C:\Documents and Settings\Buhgalter\Local Settings\Temporary Internet Files\Content.IE5\M5YLM3GB\6[2].exe','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1285434046-2383532118-291624946-1007\Software\Microsoft\Windows\CurrentVersion\Run','Shell22');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Последний раз редактировалось thyrex; 28.07.2014 в 00:47.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Student (P)
- Вес репутации
- 47
Скрипт выполнил, карантин отправил.
Базы обновил, вот новые логи.
-
Последний раз редактировалось thyrex; 28.07.2014 в 00:48.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Student (P)
- Вес репутации
- 47
-
Trojan.FileLock, C:\Documents and Settings\???°N?N???N?\?*?°?±??N????? N?N????»\nkopc.exe
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
- - - Добавлено - - -
он нашел nkopc.exe как тройян, но вы и сами там все увидите
Не удаляйте пока этот файл. Поищите его на диске и пришлите согласно приложения 2.
-
-
Student (P)
- Вес репутации
- 47
Дада я понял, сейчас все вышлю, т.к. когда я пришел в нужный каталог его там не оказалось, хотя и скрытые и системные файлы в отображение включил, поместил его в карантин mbam, сейчас от туда его восстановлю.
- - - Добавлено - - -
Боюсь я его пох*рил...
Когда MBAM его нашел, я перел в каталог, чтобы выслать вам, но там его не было, как я ни смотрел, и с отображением скрытых и системных файлов.
Тогда я решил поместить его в карантин mbam, и оттуда восстановить, в карантин поместил, попробовал восстановить, mbam сказал что не может, т.к. пометил его на удаление в карантин при перезагрузки. Думал перезагружусь и восстановлю, но перезагрузившись в карантине MBAM его уже небыло, хотя два других файла которых он туда помещал остались.
Шас через MBAM еще раз просканировал ту папку где nkopc.exe лежал, он его не нашел
Это конец ?
Последний раз редактировалось botogen; 26.07.2014 в 22:10.
-
Прикрепите в архиве несколько зашифрованных картинок. Без файла этого конечно плохо.
-
-
Student (P)
- Вес репутации
- 47
Вот пожалуйста.
Я еще раз MBAM запустил, может быть найдет он его где еще.
Несколько картинок не смог, место мое тут кончилось для вложений
-
В MBAM поместите в карантин:
Files: 3
Trojan.FileLock, C:\Documents and Settings\???°N?N???N?\?*?°?±??N????? N?N????»\nkopc.exe, , [91105947146730064a2d7cc4857ca65a],
Backdoor.Hupigon, C:\???±N????µ ??????N????µ??N?N?\?*???·????N???N??? ??N????µ?»\?*?????°N?N????° ??.??\??N??°??N?N? N?N??°N?N??µ\?*???·N? ???° 8 ???°N?N??°.EXE, , [257c3e62dba0b97dc35b0dcfcb36ae52],
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
-
-
Student (P)
- Вес репутации
- 47
Все работает, сразу все не смогу расшифровать, только необходимое расшифрую. Что-то еще необходимо выполнить ?
P.S. посоветуйте в лс (дабы не создавать рекламы) плз способ организации заиты от данных троянов, продукт либо статью. Может быть IE на сервере отключить ? Не могу понять каким образом они попадают.
-
Все работает, сразу все не смогу расшифровать, только необходимое расшифрую. Что-то еще необходимо выполнить ?
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Советы и рекомендации после лечения компьютера
P.S. посоветуйте в лс (дабы не создавать рекламы) плз способ организации заиты от данных троянов, продукт либо статью. Может быть IE на сервере отключить ? Не могу понять каким образом они попадают.
Этот вопрос лучше задать в профильном разделе форума.
-
-
Student (P)
- Вес репутации
- 47
Спасибо большое. Кстате я выяснил куда пропал nkopc.exe, его KAV установленный на сервере в карантин поместил, восстановить, прислать вам ?
-
его KAV установленный на сервере в карантин поместил, восстановить, прислать вам ?
Уже не нужен. Его кто-то присылал в систему карантинов 15 июля.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\buhgalter\windows\system\wasppacer.exe - not-a-virus:NetTool.Win32.Wasppace.n ( BitDefender: Gen:Variant.Strictor.53196 )
-