Ночью на выходных сбрутили RDP, подключились и закриптовали базы 1с, теперь хотят 1000$ таких денег просто нет... засада полная, помогите кто может.
ящик злоумышленника [email protected] криптор avg определил как FileCryptor.BO что это за криптор такой, может есть лекарство в паблике, в общем очень надеюсь на вашу помощь так как 1000$ взять не от куда.
Последний раз редактировалось Andrey_virusinfo; 20.08.2014 в 11:38.
Причина: Карантин в теме
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Andrey_virusinfo, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Восстановите из карантина и пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
не через терминальную сессию пока нет возможности.
c:\users\server\desktop\pass.exe знаком
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\whateveryouwant.bat нет
вот его содержимое
Код:
удалено
сам вирус выложил по правилам но я его не вижу в своей теме, он не виден только мне?
Последний раз редактировалось thyrex; 19.08.2014 в 18:47.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\RarLab\explorer.exe','');
DeleteFile('C:\Program Files (x86)\RarLab\explorer.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFileMask('C:\Program Files (x86)\RarLab', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\RarLab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: