Показано с 1 по 10 из 10.

Поймал бяку на сервер: - все файлы в архиве под паролем и куча readme.txt (заявка № 164008)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2014
    Сообщений
    5
    Вес репутации
    9

    Поймал бяку на сервер: - все файлы в архиве под паролем и куча readme.txt

    Добрый день. Поймал гадость на сервер, аналогично теме http://virusinfo.info/showthread.php?t=162440.
    Сообщение в текстовом файле:
    Уважаемый пользователь, Ваш компьютер заблокирован за просмотр порнографии, а все ваши персональные файлы зашифрованы в RAR архив, для получения доступа к вашему ПК, а главное к
    вашим файлам, вам следует в течение 48 часов пополнить номер МТС 9167662014 на 3000 рублей из
    терминала. После пополнения Мы Вам вышлем пароль для разблокировки ПК и открытия Архива.
    При попытке переустановить операционную систему – ваши файлы будут удалены безвозвратно. Любые
    другие глупости повлекут к удалению ваших файлов, а восстановление невозможно. После
    пополнения счета отправьте письмо на почту unblockos@list.ru с временем пополнения. Код
    разблокировки придет в ответном сообщение. Если в течение 48 часов оплата не поступит, мы удаляем
    операционную систему со всеми файлами.


    Есть rar-архив YOURFILES.rar, содержащий файлы, оригинальные весить стали по 0 кб
    Пароль из вышеуказанной темы не подошёл.
    Одно НО: логи делал из под другого пользователя (похоже заражен только профиль Администратор), т.к. под Администратором комп работал не корректно. Это Win2003 Server. Нового пользователя сделать пришлось чтобы люди могли работать.

    virusinfo_syscheck.ziphijackthis.log

    Простите если дублировал тему - подвис браузер.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Config13, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Поймал гадость на сервер
    Здравствуйте! Нужно вложение которое запускалось.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','');
     QuarantineFile('C:\893200.dll','');
     DeleteFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv\Parameters','ServiceDll');  
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    31.07.2014
    Сообщений
    5
    Вес репутации
    9

    логи

    Добрый день. Прислать карантин пишет "этот файл уже был загружен". После выполнения скрипта создается quarantin.zip не запароленный и пустой.

    И правильно ли я понимаю - данными средствами получиться только убить зловреда, но не узнать пароль к архиву??

    virusinfo_syscheck.zipMBAM-log-2014-08-01 (10-33-57).txthijackthis1.log
    Последний раз редактировалось Config13; 01.08.2014 в 11:09.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    данными средствами получиться только убить зловреда, но не узнать пароль к архиву??
    Если сможете найти само вложение, которое запускалось тогда может что нибудь и получиться узнать.

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  1
    HKLM\SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv (Backdoor.Farfli) -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip|DLLPath (Hijack.Iprouter) -> Плохо: (C:\893200.dll) Хорошо: (%SystemRoot%\System32\iprtrmgr.dll) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    31.07.2014
    Сообщений
    5
    Вес репутации
    9
    Я всё сделаю немного позже - никто не даст перегружать сервак в течении раб.дня. А про самое больное - какое вложение вы имеете в виду??? Это отдельно стоящая машина, на которой никто не работает и в идеале ничто кроме 1С sql-server 2000 и программы автоматической загрузки заявок (тоже 1С), ну и ftp-сервер иногда. Что мне искать, подскажите пожалуйста, хоть примерно.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    А про самое больное - какое вложение вы имеете в виду?
    Что-то наверное запускалось перед появлением проблемы. Если сами ничего не запускали, то вероятно зашли удаленно и запустили. + Попробуйте код %F5df*$#@FE0s2rdsf@F861@FD
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    31.07.2014
    Сообщений
    5
    Вес репутации
    9
    Спасибо огромное за помощь, бяка вроде как ушла, но вот файлики тю-тю. Спасибо за помощь с паролем, но вот архивчик с нужными файлами весит теперь 93 кило - толку его разархивливать нету. Ещё раз спасибо огромное всем за участие. Тему можно закрывать.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Ключ подошел?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    31.07.2014
    Сообщений
    5
    Вес репутации
    9
    Нет, тот который несколькими постами выше не подошёл

  • Уважаемый(ая) Config13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 09.06.2014, 18:56
    2. поймал бяку
      От MacKen в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.03.2014, 21:58
    3. поймал какую то бяку (вирус) RC=3221225477
      От Kruglov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.12.2011, 10:47
    4. Поймал с почты бяку
      От Baldej в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.03.2006, 16:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00923 seconds with 21 queries