Вирус просит биткоины. Хелп

[SergSerg1]

Кстати да.
У меня Медок тоже инсталлирован тупо в с:\Medoc_2016
Бэкдор со 189-м обновлением прихватил, а Петя/А прошел мимо...

У меня он был проинстален не в корень диска, а в папку вложенную в папку "Мои документы" ограниченного виндоюзера. На момент инстала у этого юзера были админ права, а после инстала юзер стал ограниченным.

Официальный каспер только 4-го июля очнулся, спасла только специфическая моя установка. Я так сделал потому что у дистрибутива не было цифровой подписи и я немного решил перестраховаться. Как оказалось не зря.

А вообще это чудо юдо медок надо было в виртуалку запихивать и при том тоже в локальный профиль к локальному ограниченному пользователю.

 

[9life]

специфическая

тоесть изменения дефолтных путей установки глушат вирусняк?
это в целом ожидаемо...но в тоже время полезная инфа

 

[SergSerg1]

hkeycurrentuser - симлинк на куст (ntuser.dat) залогиненного в данный момент пользователя. Вы под тем пользователем медока смотрели в реестр, или под админом? да, запустить оно себя не смогло у Вас. Но мы-то с Вами начали с того, что Вы teledoor назвали "петей"....а это разные вещи.

Я смотрел реестр под всеми виндоюзарами, которые есть на компе - и админом и всеми ограниченными.

Упомянутая мною веточка "карент_юзер/софтваре/WS" была только у ограниченного виндоюзера в профиль которого я проинсталил медок. Больше ни у кого не было.

Соответственно teledoor прописался в локальный профиль, а сам Петя, которому нужен был рут и нужна была папочка windows заехать не смог.

Но ведь и внутри профиля мог бы нашарудить нашифровать, но слава богу не случилось... пока...

 

[9life]

Соответственно teledoor прописался в локальный профиль, а сам Петя, которому нужен был рут и нужна была папочка windows заехать не смог.

если вам интересно изучайте все ссыли что я постил

 

[alex444]

Но ведь и внутри профиля мог бы нашарудить нашифровать, но слава богу не случилось... пока...

ну так "заехать"-то он не смог, так что и шарудить некому было.

 

[juriks]

А если у меня на компе семерка и минт, и если вдруг петя сделает своё дело, смогу ли я в минт загрузиться через grub, или он и этот загрузчик грохнет?

 

[Нужно подумать]

Госспецсвязи советует пользователям как можно скорее воспользоваться опубликованными на сайте рекомендациями. В частности, команда CERT-UA предлагает украинцам первым делом прекратить использование программное обеспечение "M.E.Doc" до официального объявления о решении проблемы, а также отключить от сети компьютеры, на которых оно было установлено.

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

 

[_pasha]

Вирус на дот нете.... Ты точно прогонял а не гонял??

с самого начала была ссылка там чуваки в ахуе от того что ЭТО на дотнете написано и довольно изящно

 

[harp00n]

38 антивирусных программ просто добавили в свои базы сигнатуру Петиного шлюза.
Если есть голова на плечах - первоисточники не нужны. Берете исходный файл ZvitPublishedObjects.dll - он не кусается. Смотрите табличку экспорта и пишете простенький код, вызывающий функции этой длл. Далее под бинарным отладчиком выполняете свой код.

Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

- откатиться на 188 релиз. Но при этом же, по идее, не подтянутся данные отчетов...

 

[Wowa]

Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Не стал параноить, а раздуплился, наконец. Вирус в "Медке" давно.

 

[Gimly13]

Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

- откатиться на 188 релиз. Но при этом же, по идее, не подтянутся данные отчетов...

вот что делать чтобы откатиться на 188 с сохранением всех баз-данных


в 2 словах - поставить рядом чистый 188 медок, перенести базу, скриптом задаунгрейдить 189 базу до 188.

 

[Wowa]

Скрипт, надо полагать, без подписей и завирусован новой версией "Пети".

 

[sere9a]

Мы эту заразу изолировали физически на отдельно машине.

 

[alex444]

Есть подозрение, что антивирь обновился и стал параноить.

да.

Убрать из карантина и пусть дальше пользуется Медком?

да.

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

ждите обнову.


Ну или откат на 188.


или то, что написано тут в рекомендациях

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

("выключить до особого").. .

 

[Maru_sss]

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

да, у нас позавчера то же самое было.
восстановили из карантина

 

[ATmega88]

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

восстановили из карантина

Ждем третью волну ???

 

[Maru_sss]

Ждем третью волну ???

читаем Отче наш, кропим монитор святой водой
сохраняемся каждый день и работаем

 

[ATmega88]

читаем Отче наш, кропим монитор святой водой
сохраняемся каждый день и работаем

Как видите, Мегабанку это никак не помогает
Будьте бдительны

 

[alex444]

вот что делать чтобы откатиться на 188 с сохранением всех баз-данных


в 2 словах - поставить рядом чистый 188 медок, перенести базу, скриптом задаунгрейдить 189 базу до 188.

левый скрипт.. ну-ну.

===Если у вас есть Медок и база 189 версии, но медок не открывается:===

то верните .conf-файлы файрбердовские из своих бэкапов, вместо пошифрованных петей. Их там несколько штук. И всё. На самом деле, там можно с любого файрберда взять дефолтные.

 

[Wowa]

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Ну, ничему этих уродов упоротых криворуких жизнь не учит:

Для перевірки цілісності дистрибутиву ви можете скористатись наступними хеш-сумами:

1. medoc_10.01.188_fb&ora.zip

MD5 хеш файла medoc_10.01.188_fb&ora.zip:
dd0a84aca8afa12e9860bfbe0066bf46
SHA1 хеш файла medoc_10.01.188_fb&ora.zip:
b01394b7ace3e3734039fbe107123bb22627f3d1
SHA256 хеш файла medoc_10.01.188_fb&ora.zip:
95125ce010611377153967851aa2584863da3390e8a0dd0f4560ef8a896edc2f

Если подменили дистр, то изменить строчки с хэшами на незашифрованной http!!!! страничке еще ж легче. Доколе?