Здравствуйте. Нужна как можно быстрее ваша помощь. На диске сервера появились вот такие текстовые файлики (Здравствуйте! ваши жесткие диски зашифрованы если хотите расшифровать файлы пишите нам на эмайл[email protected] мы ответим в течении трех часов ПРИ обращении укажите ВАШ ID Ваш ID 545343109999 ) . Не могу открыть екселовские вордовские документы.
Логи прикрепил.
Очень буду благодарен за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Денис2014, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Т.е. расширение у зашифрованных файлов не менялось?
а файлы можем расшифровывать?
Сможете найти тело шифратора будут некоторые шансы, а так думаю их нет. Хотя если автор этого шифратора не дурак он сам шифратор удалил программой шредером.
при открытии файла пишет, что не удается открыть файл, так как формат или расширение этого файла являются недопустимыми. Убедитесь, что файл не поврежден и расширение его имени соответствует его формату.
- - - - -Добавлено - - - - -
1) по-моему расширение зашифрованных файлов изменился, потому что на сервере установлен MS Office 2007.
2) как найти тело шифратора?
- - - - -Добавлено - - - - -
кажется я нашел тело шифратора. DGFNBN~1.exe
что дальше делать помогите пожалуйста
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
OFFSGNSAVE
breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
addsgn 925277CA176AC1CC0B14534E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Tool.DesktopLock.5 [DrWeb]
bl E8D11537236C3439C2C8DDA29DFC9A48 100864
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\ЯРЛЫК ДЛЯ DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.LNK
del %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ЯРЛЫК ДЛЯ DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.LNK
chklst
delvir
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Пробуйте восстановить этот файл.
Полное имя C:\DOCUMENTS AND SETTINGS\123\ИЗБРАННОЕ\ВЕБ-УЗЛЫ МАЙКРОСОФТ\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]
Ссылки на объект
Ссылка HKLM\hoaqrucfk\Software\Microsoft\Windows\CurrentV ersion\Run\urlspace
urlspace C:\Documents and Settings\123\Избранное\Веб-узлы Майкрософт\svchost.exe -h
Спасибо за поддержку ребята.
Перезагрузку я наверно сделаю ближе в конце работы.
У меня вопрос как восстановить svchost.exe? Варианты скажите пожалуйста.
Я могу "убить" DGFNBN~1.exe через диспетчер задач?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: