-
Junior Member
- Вес репутации
- 36
Поймал бяку на сервер: - все файлы в архиве под паролем и куча readme.txt
Добрый день. Поймал гадость на сервер, аналогично теме http://virusinfo.info/showthread.php?t=162440.
Сообщение в текстовом файле:
Уважаемый пользователь, Ваш компьютер заблокирован за просмотр порнографии, а все ваши персональные файлы зашифрованы в RAR архив, для получения доступа к вашему ПК, а главное к
вашим файлам, вам следует в течение 48 часов пополнить номер МТС 9167662014 на 3000 рублей из
терминала. После пополнения Мы Вам вышлем пароль для разблокировки ПК и открытия Архива.
При попытке переустановить операционную систему – ваши файлы будут удалены безвозвратно. Любые
другие глупости повлекут к удалению ваших файлов, а восстановление невозможно. После
пополнения счета отправьте письмо на почту [email protected] с временем пополнения. Код
разблокировки придет в ответном сообщение. Если в течение 48 часов оплата не поступит, мы удаляем
операционную систему со всеми файлами.
Есть rar-архив YOURFILES.rar, содержащий файлы, оригинальные весить стали по 0 кб
Пароль из вышеуказанной темы не подошёл.
Одно НО: логи делал из под другого пользователя (похоже заражен только профиль Администратор), т.к. под Администратором комп работал не корректно. Это Win2003 Server. Нового пользователя сделать пришлось чтобы люди могли работать.
virusinfo_syscheck.ziphijackthis.log
Простите если дублировал тему - подвис браузер.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Config13, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте! Нужно вложение которое запускалось.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','');
QuarantineFile('C:\893200.dll','');
DeleteFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 36
логи
Добрый день. Прислать карантин пишет "этот файл уже был загружен". После выполнения скрипта создается quarantin.zip не запароленный и пустой.
И правильно ли я понимаю - данными средствами получиться только убить зловреда, но не узнать пароль к архиву??
virusinfo_syscheck.zipMBAM-log-2014-08-01 (10-33-57).txthijackthis1.log
Последний раз редактировалось Config13; 01.08.2014 в 11:09.
-
данными средствами получиться только убить зловреда, но не узнать пароль к архиву??
Если сможете найти само вложение, которое запускалось тогда может что нибудь и получиться узнать.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 1
HKLM\SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv (Backdoor.Farfli) -> Действие не было предпринято.
Объекты реестра обнаружены: 1
HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip|DLLPath (Hijack.Iprouter) -> Плохо: (C:\893200.dll) Хорошо: (%SystemRoot%\System32\iprtrmgr.dll) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 36
Я всё сделаю немного позже - никто не даст перегружать сервак в течении раб.дня. А про самое больное - какое вложение вы имеете в виду??? Это отдельно стоящая машина, на которой никто не работает и в идеале ничто кроме 1С sql-server 2000 и программы автоматической загрузки заявок (тоже 1С), ну и ftp-сервер иногда. Что мне искать, подскажите пожалуйста, хоть примерно.
-
А про самое больное - какое вложение вы имеете в виду?
Что-то наверное запускалось перед появлением проблемы. Если сами ничего не запускали, то вероятно зашли удаленно и запустили. + Попробуйте код %F5df*$#@FE0s2rdsf@F861@FD
-
-
Junior Member
- Вес репутации
- 36
Спасибо огромное за помощь, бяка вроде как ушла, но вот файлики тю-тю. Спасибо за помощь с паролем, но вот архивчик с нужными файлами весит теперь 93 кило - толку его разархивливать нету. Ещё раз спасибо огромное всем за участие. Тему можно закрывать.
-
-
-
Junior Member
- Вес репутации
- 36
Нет, тот который несколькими постами выше не подошёл