добрый день, поймали вирус Avira определил как TR/Crypt.ZPACK.Gen8
NOD32 показывает WIN32/Kryptik.AMCG
вирус нашли и удалили, ну кроме ворд и эксель файлов зараженных им, файлы очень нужны, их очень много. помогите пожалуйста вылечить файлы без потери информации.
все файлы Word и Excell не открываются
в названия файлов добавилось rcs и в проводнике тип документа стоит "Заставка"
например:
оригинальное название
Типовой Договора на оказание услуг по сервисному обслуживанию техники_Standard.doc
переименовалось в
Типовой Договора на оказание услуг по сервисному обслуживанию техники_Standard*cod.scr
если ставлю курсор перед rcs и нажимаю del то название еще раз меняется наТиповой Договора на оказание услуг по сервисному обслуживанию техники_Standardcod.scr
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Антон Галичев, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
не нашел кнопочку вложение или что то подобное, если подскажете как загрузить то сделаю.
однако дело в том, что логи с моего компьютера, на котором вируса не было.
ситуация вот какая, файлы заражены на файловом сервере на котором не было антивируса(. по видимому заразил один из компов который работал с этими файлами. сеть корпоративная. упущение админов что не поставили антивирусы абсолютно на все компы в сети. возможно ли вылечить файл который я выложил на файлообменник???
таких файлов помимо ворда есть еще эксель файлы, их несколько тысяч. помогите их вылечить очень прошу...
на сервере на котором заражены файлы запустил утилиту AVPTOOL . найден Worm.Win32.Dorifel.c во всех файлах ворд и эксель.
прилагаю логи 111.zip и ссылку на файлообменник с несколькими зараженными файлами
AVPTOOL лечит эти файлы, т. е. извлекает из них исходные? Если нет - воспользуйтесь DorifelKiller - проверил, работает.
- - - Добавлено - - -
Только аккуратно - при закрытии после завершения лечения утилита без вопросов перезагружает систему. Убейте процесс в памяти, либо запускайте в безопасном режиме.
И учтите - это сетевой червь, мог распространиться по другим компьютерам в локалке.
- - - Добавлено - - -
Ещё добавочка - лечит не всё, а исходный .SCR удаляет, сохраните перед запуском всё зашифрованное.
AVPTOOL лечит вроде, НО многие файлы не может вылечить и удаляет, и многие из тех что вылечил просто не открываются, то есть внутри белиберда.
попробовал DorifelKiller, спасибо за эту программку. восстановленных файлов намного больше чем через AVPTOOL.
есть еще одна проблемка на этом же сервере. возможно работает тот же червь.
чтобы предотвратить распространение червя и чтобы сотрудники не заходили на общие диски где зараженные файлы, мной была отключена служба "SERVER"
НО заметил, что при включении этой службы в процессах "система" начинает грузить процессор на 40-60%. можете подсказать в чем дело, это активность того же червя?
По логам активного червя на сервере не видно, но, возможно он долбится по сети. Проверяйте другие компьютеры.
Надеюсь, после перезагрузки сервера проблема с загрузкой процессора рассосётся.
Приветствую, большое Вам спасибо за оказываемую помощь!!!
отсканировав файлопомойку пользователей нашел еще вирус Virus:Win32/Quervar.E
если ли утилитка как вы мне уже высылали? Cleaner
образ во вложении
- - - Добавлено - - -
снова процесс system 50-60% работает, снова файлы вирусуются.
Последний раз редактировалось Антон Галичев; 22.05.2014 в 06:05.
отсканировав файлопомойку пользователей нашел еще вирус Virus:Win32/Quervar.E
если ли утилитка как вы мне уже высылали? Cleaner
Это другое название того же вируса.
Сообщение от Антон Галичев
снова процесс system 50-60% работает, снова файлы вирусуются.
Активного червя на сервере нет, видимо, долбится по сети. Отключите временно шары или вообще отключите сервер от сети - будет эффект.
Ищите заразу на других компьютерах, можно той утилитой, что я давал.
Смените пароли на учётки с администраторскими правами, у кого они были не по делу - необходимо отобрать права администратора.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к системе, браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
здравствуйте, нужна ваша небольшая консультация по выбору антивируса, если можно
я лет 7 работал только с NOD32. никогда вроде как не было проблем, таких как щас.
НО. сейчас вот случилась беда и ...
NOD32 обнаруживает вирус на сервере как WIN32/Quervar.E
AVPTOOL определил как Worm.Win32.Dorifel.c
я так понимаю это тот же самый вирус под разными названиями.
теперь о лечении.
при запуске NODа антивирус сразу удаляет зараженный файл, а при запуске AVPTOOL 99% вылеченных.
7 лет работая с NODом, я задумался о касперском, и меня это пугает)
означает ли это что антивирус касперского просто напросто ЛУЧШЕ, или НОД32 просто не знает как его лечить, или может вы выскажете свое мнение ?
можете обоснованно помочь с выбором антивируса в корпоративной среде?!
По реакции на один конкретный вирус сравнивать антивирусные продукты не очень корректно. И главный вывод, который админ должен сделать из этой ситуации - должен быть бэкап для важных данных и документов. А если бы серьёзный шифровальщик поймали?
это все понятно, что должен быть бекап , он есть Но недельной давности, я недавно в этой компании и как раз и занимаюсь устранением недочетов прошлых админов.
вопрос вот в чем, мы сейчас на один комп записали 1 файл с этим вирусом, и просканили 3 антивирусами в том числе и НОДом, и только AVPTOOL очистил и позволил работать с документом.
AVPTOOL работает на том же движке что и "Kaspersky Endpoint Security для бизнеса" ??? тоесть, если бы у меня стоял каспер то он бы, на примере данного вируса, вылечил бы его. просто вирус никак не исчезнет, только я почищу хранилище документов как через 1-2 часа снова начинают попадаются зараженные этим вирусом файлы.
выявляю компьютеры к которых могло быт заражение и чистим их.
щас стоит НОД32 как я писал, и если в определенной папке появляется зараженный файл, зайдя в эту папку, файл просто исчезает на глазах, так как НОД его удаляет.
вытаскиваю этот файл из карантина и пробегаю по нему AVPTOOL'ом и файл вылечен.) о чудо)
вот поэтому и задумался о каспере. будет ли каспер на примере этого вируса лечить файлы а не удалять их сразу как это делает НОД, как минимум НОД.