Показано с 1 по 20 из 20.

1c запароленные базы в WinRar (заявка № 182508)

  1. #1
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29

    1c запароленные базы в WinRar

    Добрый день.
    На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
    DRweb и KVP ничего не находят.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,454
    Вес репутации
    341
    Уважаемый(ая) Vulgarius, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt.exe');
     QuarantineFile('c:\windows\syswow64\mtmonitor\tmz.dll', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '32');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '32');
     DeleteFile('c:\windows\syswow64\mtmonitor\tsynchost.exe', '32');
     DeleteFile('c:\windows\syswow64\mtmonitor\tmz.dll', '32');
     DeleteService('MainTSyncHost');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteSysClean;
    end.
    Перезагрузите сервер вручную.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого они были не по делу - необходимо отобрать права администратора.

    Пробуйте восстановить базы из теневых копий - проверяйте в свойствах папок на вкладке "Предыдущие версии". Но злоумышленники могли и отключить эту возможность.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Сделал полный образ автозапуска
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.85.20 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    del %Sys32%\DRIVERS\SOLDISK.SYS
    delref %Sys32%\DRIVERS\SOLDISK.SYS
    del %Sys32%\DRIVERS\SOLFS.SYS
    delref %Sys32%\DRIVERS\SOLFS.SYS
    delall %SystemRoot%\SYSWOW64\MTMONITOR\TMVLT.EXE
    delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
    deldir %SystemRoot%\SYSWOW64\MTMONITOR
    Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
    Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
    Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
    Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx
    Перезагрузите сервер
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Я все делаю по инструкции но файл Events.7z весит 1 кб это нормально?

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Что-то не так.
    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Последний раз редактировалось Vulgarius; 30.04.2015 в 10:22.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Не вижу вложения.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Последний раз редактировалось Vulgarius; 30.04.2015 в 11:18.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Ладно, просто сохраните журналы событий "Приложение", "Безопасность" и "Система" как файлы событий (*.evtx), упакуйте покрепче, и на rghost.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    вот
    http://rghost.ru/7cGX4Czcc
    Вложения Вложения
    Последний раз редактировалось Vulgarius; 30.04.2015 в 13:36.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Судя по всему, долбили целенаправленно ещё с середины апреля, видно по множеству попыток неудачного входа по ночам.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установите политиками минимальную длину пароля хотя бы 5 символов, желательно срок действия павроля ограничить месяцем или двумя хотя бы.
    Переименуйте стандартную учётную запись администратора, через неё, вероятнее всего и взломали.

    Установите все доступные обновления для системы.

    Организуйте систему резервного копирования так, чтобы бэкапы не были доступны всем учётным записям на сервере, кроме одной, под которой работает программа резервного копирования.

    Базы восстановили в результате? Теневые копии помогли?
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Спасибо за обнаружение дыры.

    нет, не восстановили как это сделать?Как восстановить теневые корпии?Как найти пароль?
    Спасибо за ответ.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Пароль найти/подобрать нереально.
    По теневым копиям я писал в конце сообщения #3.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    у нас она была отключена.
    Может есть другой способ?

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Теневые копии зачем отключали? Самый простой и при этом встроенный в систему способ восстановить систему и данные...
    Видел по журналам, что множество программ восстановления данных перепробовали. Пожалуй, вариантов нет. Резервных копий что, совсем не было?

    Урок, надеюсь усвоили, больше помочь нечем.
    WBR,
    Vadim

  20. #18
    Junior Member Репутация
    Регистрация
    07.03.2010
    Сообщений
    14
    Вес репутации
    29
    Спасибо !!

    - - - - -Добавлено - - - - -

    а если удалить фаил из архива Его можно будет восстановить?

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    WBR,
    Vadim

  22. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Vulgarius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Запароленные архивы Winrar в c-sistem32
      От nbnfy в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.02.2011, 23:13
    2. Ответов: 4
      Последнее сообщение: 17.02.2011, 20:28
    3. Cureit открывается winrar
      От kabilov в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.04.2009, 13:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00510 seconds with 17 queries