Взломали компьютер, украдены логины пароли от ЛК [not-a-virus:RemoteAdmin.Win32.RMS.nx ]

**epm2017** · 20.12.2017, 12:13

Добрый день, ситуация следующая, сотрудник получил рассылку по почте, в ней был архив, в котором среди нормальных файлов pdf, jpg был файл scr.
Скорее всего он был запущен, потому что как говорит сотрудник что то ругнулся антивирус Касперского.
На данном компьютере сотрудник выполняет входы в различные личные кабинеты и бронирует авиа жд билеты.

Хотелось бы узнать каким образом был произведен взлом, может быть и не данным SCR файлом (имеется, если нужно для анализа могу прикрепить)

Можно ли очистить компьютер, так как переустановка всех систем процесс тяжелый.

Заранее благодарю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.12.2017, 12:14

Уважаемый(ая) epm2017, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 20.12.2017, 13:20

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\users\1\appdata\roaming\consent.exe');
 QuarantineFile('c:\users\1\appdata\roaming\consent.exe','');
 DeleteFile('c:\users\1\appdata\roaming\consent.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Consent UI');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O4 - Global User Startup: McAfee Security Scan Plus.lnk    ->    C:\Program Files\McAfee Security Scan\3.11.599\SSScheduler.exe

Прокси сервер http=127.0.0.1:2080 сами прописывали?

Сделайте повторные логи по правилам

**epm2017** · 20.12.2017, 13:45

Прокси сервер не прописывал, возможно какие либо честные программы доступа прописали?

Карантин отправил

**mike 1** · 20.12.2017, 14:14

Могут, но маловероятно.

**epm2017** · 20.12.2017, 14:26

Все вышеизложенные действия произвел
Прикладываю ЛОГ

- - - - -Добавлено - - - - -

Сообщение от mike 1

Могут, но маловероятно.

Думаю так же.

**mike 1** · 20.12.2017, 14:29

McAfee Security Scan Plus деинсталлируйте.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**epm2017** · 20.12.2017, 14:47

Файл FRST.txt

- - - - -Добавлено - - - - -

файл addition.txt

**epm2017** · 22.12.2017, 13:44

В итоге что у нас случилось с компьютером? вижу что тема поменялась, что это означает?

**mike 1** · 22.12.2017, 14:07

1 (S-1-5-21-2484938694-4142543806-3499815102-1002 - Administrator - Enabled) => C:\Users\1

Сами создавали такую учетку?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
file: C:\Program Files (x86)\Automatic Update\AutoUpdate.exe
ProxyServer: [S-1-5-21-2484938694-4142543806-3499815102-1002] => http=127.0.0.1:2080
ManualProxies: 1http=127.0.0.1:2080
EmptyTemp:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**epm2017** · 27.12.2017, 15:15

Спасибо за помощь, но компьютер забрали органы дел как вещдок.

**mike 1** · 27.12.2017, 15:17

Если что, то все удаленные файлы находятся в папке C:\FRST\Quarantine

c:\users\1\appdata\roaming\consent.exe - not-a-virus:RemoteAdmin.Win32.RMS.nx (программа удаленного доступа)

**epm2017** · 27.12.2017, 15:48

Сообщение от mike 1

Если что, то все удаленные файлы находятся в папке C:\FRST\Quarantine

c:\users\1\appdata\roaming\consent.exe - not-a-virus:RemoteAdmin.Win32.RMS.nx (программа удаленного доступа)

С помощью данной программой могли ли каким то образом вытянуть сохраненные пароли с браузеров?
так что бы сотрудник не видел, что происходит на экране?

также имеется целенаправленное письмо с вложением в виде архиве, и в нем несколько файлов, некоторые верные якобы pdf, jpg. среди которых был файл scr - если нужно могу выслать данное письмо

**mike 1** · 27.12.2017, 16:03

С помощью данной программой могли ли каким то образом вытянуть сохраненные пароли с браузеров?
так что бы сотрудник не видел, что происходит на экране?

А почему нет, если злоумышленник работал через Backdoor фактически. Backdoor - программа, которая открывает удаленный доступ к компьютеру и позволяет работать как минимум с правами администратора на машине.

также имеется целенаправленное письмо с вложением в виде архиве, и в нем несколько файлов, некоторые верные якобы pdf, jpg. среди которых был файл scr - если нужно могу выслать данное письмо

Присылайте, можно на почту [email protected]

**CyberHelper** · 27.12.2017, 16:13

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\1\appdata\roaming\consent.exe - not-a-virus:RemoteAdmin.Win32.RMS.nx

Взломали компьютер, украдены логины пароли от ЛК [not-a-virus:RemoteAdmin.Win32.RMS.nx ] (заявка № 216798)

Опции темы