kruchkov-alexandr
@kruchkov-alexandr
VSAT engineer

Троян в офисе

Добрый день, буду краток. В офисе схватили троян — сперва на рабочий стол высветил табло, что хочет 100евро за удаление себя с экрана.
Я тупо перезагрузил комп в safe mode и с помощью cureit удалил гадость. Однако вместо документов есть сотни и тысячи файлов с именем типа LikfoihpioufpiUGFIOP и не открываются ничем.
Пробовал пару утилит от DrWeb — не помогает.

Кто попадал на эту гадость?
Что делать?

Пишу сумбурно сюда, одновременно делаю бекап всего на флешки.
  • Вопрос задан
  • 2684 просмотра
Пригласить эксперта
Ответы на вопрос 5
@ash_kgd
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, большинство программ записываются в эти два ключа.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\VxD\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries и ее подветки…
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ загружаются как драйвера устройств.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ при загрузке любого пользователя.

Посмотрите внимательно данные ключи реестра!
Ответ написан
Zharskiy
@Zharskiy
или ограничьте права юзерам и ставьте патчи
или будьте готовы встречаться с ним регулярно
Ответ написан
Комментировать
@sergof
мне приносили ноут с похожей бедой: вымогалка + шифрованые файлы на десктопе. которые на деле оказались не шифроваными а просто порченными: в первых 12кб каждого файла был просто рандомный мусор, дешифрованию не подлежит (во всяком случае решения не нашлось). резервное копирование выручает (если оно было сделано, конечно. хотя практика показваент что никто не заботится о резервно копировании пока не станет слишком поздно)
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
1. регулярное обновление честно купленной операционной системы, драйверов, офисного пакета, броузеров, флеша, жавы и другого п/о,
2. регулярные автоматические ежедневные бекапы, дублирование критических систем и виртуализация,
3. а так же разделение ролей по своим учётным записям,
4. отрезание прав всем, кому они не нужны — реально это админ, хелпдеск, 1-с бухгалтера с устаревшими клиентбанками и сервисники,
5. отрезание соцсетей, асек/скайпов, файлопомоек, торрентов, фриварных почтовиков всем, кому они не нужны
6. документирование всего и вся, и утверждение всех процедур на уровне периказа по компании

спасут отца-админа от 99% проблем.

У меня в компании после раскатывания банального всуса на все рабочие станции решило проблемы с вирусами где-то за неделю. сапорт уже забыл, что такое cureit
Ответ написан
Комментировать
@asterisk
создай LIVECD support.kaspersky.ru/viruses/rescuedisk?level=2 удалит твою заразу, только нужно после загрузки с диска настроить сеть и обновить базу антивируса.
Желаю успехов
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы