Junior Member (OID)
Вес репутации
32
Зашифрованные файлы .id-{PQRSTTTUVVWXXXYYZZABBCCCDEEFFGGGHIIJ-13.02.2016 23@04@171539137}[email protected]
Зашифровали файлы на windows server 2008 r2. Все файлы стали иметь название .id-{PQRSTTTUVVWXXXYYZZABBCCCDEEFFGGGHIIJ-13.02.2016 23@04@171539137}[email protected]
Примеры файлов https://yadi.sk/d/lwEj57-yotm7v
hijackthis запустить не получилось
Заранее спасибо за любую помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Дмитрий Макаренков , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
- Логи AVZ сделаны в терминальной сессии, сделайте их из консоли.
>>> Подозрение на маскировку ключа реестра службы\драйвера "silsvc"
- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
AVG из консоли и лог TDSSKiller (ничего не обнаружил)
Вложения
Сообщение от
Дмитрий Макаренков
лог TDSSKiller (ничего не обнаружил)
Вроде служба легитимна, но странно следующее:
Код:
06:24:47.0311 0x0cc4 Suspicious service (NoAccess): silsvc
06:24:47.0654 0x0cc4 [ 34DA13E473B43F814829895BC72EAE6D, A9192267AEF42BC4028BE8F97A53586AF63F56E725DDE3FDA54F7CADBEDFA838 ] silsvc C:\Windows\system32\silsvc.exe
06:24:47.0685 0x0cc4 silsvc - detected LockedService.Multi.Generic ( 1 )
Проверьте Вам доступна следующая ветка в реестре:
Код:
HKLM\SYSTEM\CurrentControlSet\Services\silsvc
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
QuarantineFile('C:\Program Files (x86)\WinRAR\explorer.exe','');
QuarantineFile('C:\Users\Администратор\Program Files (x86)\WinRAR\explorer.exe','');
QuarantineFile('C:\Windows\system32\UsrLogon.cmd','');
QuarantineFile('C:\Windows\system32\silsvc.exe','');
DeleteFile('C:\Program Files (x86)\WinRAR\explorer.exe','32');
DeleteFile('C:\Users\Администратор\Program Files (x86)\WinRAR\explorer.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.
После выполнения скрипта перегрузите сервер вручную .
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
Ветка реестра не доступна.
При попытке отрыть выдает ошибку:
Ошибка при открытии раздела
Не удается открыть silsvc
Не удается отрыть этот раздел из-за ошибки.
Сведения: Отказано в доступе.
Могу выслать утилиту для приемлемого восстановления doc, docx, xls, xlsx, jpg, но не более.
Сообщение от
Дмитрий Макаренков
Ветка реестра не доступна.
При попытке отрыть выдает ошибку:
Ошибка при открытии раздела
Не удается открыть silsvc
Не удается отрыть этот раздел из-за ошибки.
Сведения: Отказано в доступе.
Возможно данная ветка заблочена разработчким (by design), уточните если у Вас используете "Microsoft Server Infrastructure License Service"?
P.S. разблокировка данной ветки может нарушить работу "Microsoft Server Infrastructure License Service".
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
Сообщение от
SQ
Возможно данная ветка заболочена разработчким (by design), уточните если у Вас используете "Microsoft Server Infrastructure License Service"?
P.S. разблокировка данной ветки может нарушить работу "Microsoft Server Infrastructure License Service".
Это как то повлияет на расшифровку файлов?
- - - - -Добавлено - - - - -
Сообщение от
mike 1
Могу выслать утилиту для приемлемого восстановления doc, docx, xls, xlsx, jpg, но не более.
Вышлите пожалуйста. Можно на почту dimmak55(собака)gmail.com
Сообщение от
Дмитрий Макаренков
Это как то повлияет на расшифровку файлов?
нет, по расшифровки файлов продолжите общение с хелпером Mike 1 .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
Сообщение от
SQ
Возможно данная ветка заблочена разработчким (by design), уточните если у Вас используете "Microsoft Server Infrastructure License Service"?
P.S. разблокировка данной ветки может нарушить работу "Microsoft Server Infrastructure License Service".
Microsoft Server Infrastructure License Service не используется. Как разблокировать ветку реестра?
Сообщение от
Дмитрий Макаренков
Microsoft Server Infrastructure License Service не используется. Как разблокировать ветку реестра?
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\silsvc');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\silsvc\Parameters');
QuarantineFile(RegKeyStrParamRead('HKLM','SYSTEM\CurrentControlSet\Services\silsvc\Parameters','ServiceDll'),'');
BC_ImportQuarantineList;
BC_Activate;
end.
После выполнения скрипта сервер перезагрузите вручную .
После перезагрузки:
- Выполните в AVZ:
Код:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
Скрипт выполнил.
При загрузке карантина пишет: "Ошибка загрузки. Данный файл уже был загружен". На сколько понял из гугла это не влияет на загрузку или как?
Сообщение от
Дмитрий Макаренков
Скрипт выполнил.
Ветка реестра стала доступной?
Сообщение от
Дмитрий Макаренков
При загрузке карантина пишет: "Ошибка загрузки. Данный файл уже был загружен". На сколько понял из гугла это не влияет на загрузку или как?
Скорее всего карантин пустой.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member (OID)
Вес репутации
32
Ветка реестра не доступна, та же ошибка.
Скорее всего из-за владельца раздела в реестре, но любые изменения в реестре могут привести к неработаспособности сервера.
P.S. Если ориентировать на тематические сайты, то данная служба легитимная. Причина блокировки раздела в реестре: microsoft is locking it down for anti-piracy reasons .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения вредоносные программы в карантинах не обнаружены