Вирус просит биткоины. Хелп

SergSerg1 · 06.07.2017

Gmp727 сказав(ла):
Кстати да.
У меня Медок тоже инсталлирован тупо в с:\Medoc_2016
Бэкдор со 189-м обновлением прихватил, а Петя/А прошел мимо...

У меня он был проинстален не в корень диска, а в папку вложенную в папку "Мои документы" ограниченного виндоюзера. На момент инстала у этого юзера были админ права, а после инстала юзер стал ограниченным.

Официальный каспер только 4-го июля очнулся, спасла только специфическая моя установка. Я так сделал потому что у дистрибутива не было цифровой подписи и я немного решил перестраховаться. Как оказалось не зря.

А вообще это чудо юдо медок надо было в виртуалку запихивать и при том тоже в локальный профиль к локальному ограниченному пользователю.

9life · 06.07.2017

SergSerg1 сказав(ла):
специфическая

тоесть изменения дефолтных путей установки глушат вирусняк?
это в целом ожидаемо...но в тоже время полезная инфа

SergSerg1 · 06.07.2017

alex444 сказав(ла):
hkeycurrentuser - симлинк на куст (ntuser.dat) залогиненного в данный момент пользователя. Вы под тем пользователем медока смотрели в реестр, или под админом? да, запустить оно себя не смогло у Вас. Но мы-то с Вами начали с того, что Вы teledoor назвали "петей"....а это разные вещи.

Я смотрел реестр под всеми виндоюзарами, которые есть на компе - и админом и всеми ограниченными.

Упомянутая мною веточка "карент_юзер/софтваре/WS" была только у ограниченного виндоюзера в профиль которого я проинсталил медок. Больше ни у кого не было.

Соответственно teledoor прописался в локальный профиль, а сам Петя, которому нужен был рут и нужна была папочка windows заехать не смог.

Но ведь и внутри профиля мог бы нашарудить нашифровать, но слава богу не случилось... пока...

9life · 06.07.2017

SergSerg1 сказав(ла):
Соответственно teledoor прописался в локальный профиль, а сам Петя, которому нужен был рут и нужна была папочка windows заехать не смог.

если вам интересно изучайте все ссыли что я постил

alex444 · 06.07.2017

SergSerg1 сказав(ла):
Но ведь и внутри профиля мог бы нашарудить нашифровать, но слава богу не случилось... пока...

ну так "заехать"-то он не смог, так что и шарудить некому было.

juriks · 07.07.2017

А если у меня на компе семерка и минт, и если вдруг петя сделает своё дело, смогу ли я в минт загрузиться через grub, или он и этот загрузчик грохнет?

Нужно подумать · 07.07.2017

Госспецсвязи советует пользователям как можно скорее воспользоваться опубликованными на сайте рекомендациями. В частности, команда CERT-UA предлагает украинцам первым делом прекратить использование программное обеспечение "M.E.Doc" до официального объявления о решении проблемы, а также отключить от сети компьютеры, на которых оно было установлено.

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

_pasha · 07.07.2017

dazer сказав(ла):
Вирус на дот нете.... Ты точно прогонял а не гонял??

с самого начала была ссылка там чуваки в ахуе от того что ЭТО на дотнете написано и довольно изящно

harp00n · 07.07.2017

goodroom сказав(ла):
38 антивирусных программ просто добавили в свои базы сигнатуру Петиного шлюза.
Если есть голова на плечах - первоисточники не нужны. Берете исходный файл ZvitPublishedObjects.dll - он не кусается. Смотрите табличку экспорта и пишете простенький код, вызывающий функции этой длл. Далее под бинарным отладчиком выполняете свой код.

Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

- откатиться на 188 релиз. Но при этом же, по идее, не подтянутся данные отчетов...

Wowa · 07.07.2017

harp00n сказав(ла):
Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Не стал параноить, а раздуплился, наконец. Вирус в "Медке" давно.

Gimly13 · 07.07.2017

harp00n сказав(ла):
Вопрос ко всем - сегодня на бухгалтерском компе с Medoc 189, который до этого спокойно работал, в том числе вчера (виратака миновала, сделали бэкап, создали файл perfc в папке windows), антивирус Avira внезапно нашел данный .dll и поместил в карантин как Win32.Malware. Есть подозрение, что антивирь обновился и стал параноить.

Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

- откатиться на 188 релиз. Но при этом же, по идее, не подтянутся данные отчетов...

вот что делать чтобы откатиться на 188 с сохранением всех баз-данных
https://www.facebook.com/

в 2 словах - поставить рядом чистый 188 медок, перенести базу, скриптом задаунгрейдить 189 базу до 188.

Wowa · 07.07.2017

Скрипт, надо полагать, без подписей и завирусован новой версией "Пети".

sere9a · 07.07.2017

Мы эту заразу изолировали физически на отдельно машине.

alex444 · 07.07.2017

harp00n сказав(ла):
Есть подозрение, что антивирь обновился и стал параноить.

да.

harp00n сказав(ла):
Убрать из карантина и пусть дальше пользуется Медком?

да.

harp00n сказав(ла):
Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

ждите обнову.

Ну или откат на 188.

или то, что написано тут в рекомендациях

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

("выключить до особого").. .

Maru_sss · 07.07.2017

harp00n сказав(ла):
Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

да, у нас позавчера то же самое было.
восстановили из карантина

ATmega88 · 07.07.2017

harp00n сказав(ла):
Что посоветуете делать? Убрать из карантина и пусть дальше пользуется Медком?

Maru_sss сказав(ла):
восстановили из карантина

Ждем третью волну ???

Maru_sss · 07.07.2017

ATmega88 сказав(ла):
Ждем третью волну ???

читаем Отче наш, кропим монитор святой водой
сохраняемся каждый день и работаем

ATmega88 · 07.07.2017

Maru_sss сказав(ла):
читаем Отче наш, кропим монитор святой водой
сохраняемся каждый день и работаем

Как видите, Мегабанку это никак не помогает
Будьте бдительны

alex444 · 07.07.2017

Gimly13 сказав(ла):
вот что делать чтобы откатиться на 188 с сохранением всех баз-данных
https://www.facebook.com/

в 2 словах - поставить рядом чистый 188 медок, перенести базу, скриптом задаунгрейдить 189 базу до 188.

левый скрипт.. ну-ну.

===Если у вас есть Медок и база 189 версии, но медок не открывается:===

то верните .conf-файлы файрбердовские из своих бэкапов, вместо пошифрованных петей. Их там несколько штук. И всё. На самом деле, там можно с любого файрберда взять дефолтные.

Wowa · 07.07.2017

alex444 сказав(ла):
Сегодня разработчики Медка вывесили последний бюллетень, в котором они советуют что делать

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Ну, ничему этих уродов упоротых криворуких жизнь не учит:

Для перевірки цілісності дистрибутиву ви можете скористатись наступними хеш-сумами:

1. medoc_10.01.188_fb&ora.zip

MD5 хеш файла medoc_10.01.188_fb&ora.zip:
dd0a84aca8afa12e9860bfbe0066bf46
SHA1 хеш файла medoc_10.01.188_fb&ora.zip:
b01394b7ace3e3734039fbe107123bb22627f3d1
SHA256 хеш файла medoc_10.01.188_fb&ora.zip:
95125ce010611377153967851aa2584863da3390e8a0dd0f4560ef8a896edc2f

Если подменили дистр, то изменить строчки с хэшами на незашифрованной http!!!! страничке еще ж легче. Доколе?

Вирус просит биткоины. Хелп

Додаткові параметри

SergSerg1

9life

SergSerg1

9life

alex444

staff (вахтьор)

juriks

Нужно подумать

_pasha

harp00n

Wowa

Gimly13

Привіт!

Wowa

sere9a

alex444

staff (вахтьор)

Maru_sss

ATmega88

Maru_sss

ATmega88

alex444

staff (вахтьор)

Wowa