Перед выходными сервер не загрузился после перезагрузки...
Оказалось вирусы затёрли загрузочный сектор...
После установки диска на другой комп. с целью перекачки файлов, выяснилось, что практически все файлы зашифрованы...
В основных директориях лежали файлы:
detka.exe
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
выход есть.png.EnCiPhErEd
jaguary1.exe.EnCiPhErEd
lockdir.exe.EnCiPhErEd
А также присутствовала скрытая не копируемая директория (файлы из которой, тем не менее копируются)
содержащая правильную структуру папок, в которой находятся файлы вида CDEEE2FBE920F2E5EAF1F2EEE2FBE920E4EEEAF3ECE5EDF22E 747874.RN
Кое в каких папках ещё сохранились файлы с правильным названием и расширением EnCiPhErEd
Утилиты от DRWEB спотыкались на папке Windows с ошибкой.
После долгих поисков в инете, была найдена XoristDecryptor.exe XoristDecryptor.2.2.39.0 а затем и XoristDecryptor.2.2.40.0
39 ничего не расшифровывала, 40 расшифровала все файлы с расширением EnCiPhErEd
Т.е. насколько понимаю, расшифрована сама утилита lockdir.exe и вирус jaguary1.exe
Дальше ничего сделать не могу -- так и осталась куча файлов с зашифрованным названием и расширением .RN
А данные очень нужны...
На всякий случай прикладываю всё, что нашёл на заражённом диске NOD32 (e и g -- один физический диск с сервера): "E:\gfweq23.Bi\C08436D18DF.exe - модифицированный Win32/Kryptik.WSW троянская программа
E:\ProgramData\mshtune.exe - Win32/Agent.TIR троянская программа
E:\Users\User1\AppData\Local\dplaysvr.exe - модифицированный Win32/Kryptik.AAAJ троянская программа
E:\Users\User1\AppData\Local\dplayx.dll - модифицированный Win32/Kryptik.AACV троянская программа
E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\12\1c76a78c-198af831 - модифицированный Win32/Kryptik.ZLR троянская программа
E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\5\221e2a45-35a09ab4 - модифицированный Win32/Injector.NPQ троянская программа
E:\Users\User1\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\53\4956eb5-2b9a7721 - модифицированный Win32/Kryptik.ZVJ троянская программа
E:\Users\User1\AppData\Roaming\fsdiag.exe - Win32/Agent.TIR троянская программа
E:\Users\User1\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\q7vy9rp6.exe - Win32/TrojanDownloader.Carberp.AB троянская программа
E:\Users\User1\AppData\Roaming\Microsoft Corporation\lpksta.api - Win32/Corkow.D троянская программа
E:\Users\User1\Desktop\detka.exe - модифицированный Win32/Filecoder.Q троянская программа
G:\totalcmd\detka.exe - модифицированный Win32/Filecoder.Q троянская программа
G:\Базы1с\detka.exe - модифицированный Win32/Filecoder.Q троянская программа D:\viruz\jaguary1.exe - модифицированный Win32/Packed.PrivateEXEProtector.C потенциально нежелательная программа"
99.9 % файлов было переписано на мой комп.
Как требуется, прикладываю логи AVZ и HiJackThis, но они на эти файлы не обратили внимания (jaguary1.exe, detka.exe)
Насколько понимаю, без команды их прикреплять нельзя, по этому пока без них.
Прошу помочь с расшифровкой...
С Уважением!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) MikleG, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Упаковал в ZIP с паролем virus и закачал по ссылке "http://virusinfo.info/upload_virus.php?tid=117762" (закачать запрошенный карантин). Я правильно сделал, или имелся ввиду обычный файлообменник (там же обычно много рекламы!)?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: