Win 2008 R1 64 файлы зашифрованы 27.09.2014 9:22 указан адрес [email protected]
Win 2008 R1 64 файлы зашифрованы 27.09.2014 9:22 указан адрес [email protected]
Уважаемый(ая) vpup, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи не через терминальную сессию сделайте.Версия Windows: 6.1.7601, Service Pack 1 "Windows Server 2008 R2 Standard" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файл поврежден (забит нулями).
Переделывайте
+ пришлите зашифрованный файл небольшого размера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
обновил базы
Похоже нужно искать тело шифровальщика.
Зашли удаленно по RDP. Меняйте пароли. Смотрите логи сервера на предмет того, что запускалось после входа постороннего
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Этот файл нужно восстановить чтобы мы могли помочь.C:\Users\admin\AppData\Local\Temp\5\0OBBDSsH5F8mq7 J.exe
+
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Его нужно восстанавливать программами восстановления данных типа R-Studio
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал.
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыC:\USERS\ADMIN\DESKTOP\HELPFILES.EXE
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
прислал
Так хорошо.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.83 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c breg delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\5\0OBBDSSH5F8MQ7J.EXE addsgn 9252620A156AC1CCE0AB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 48 Trojan.Encoder.94 [DrWeb] zoo %SystemDrive%\USERS\ADMIN\DESKTOP\HELPFILES.EXE bl CFBC736D5A16198F13E7BF360E5004BE 7168 delall %SystemDrive%\USERS\ADMIN\DESKTOP\HELPFILES.EXE addsgn 925277DA136AC1CC0B04574E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Agent.ahbld [Kaspersky] zoo %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE VIDEOS\LOGS\SMSS.EXE bl EC22836DB480876BB8A3C1DBA251E8FA 270361 delall %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE VIDEOS\LOGS\SMSS.EXE zoo %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE VIDEOS\LOGS\WINLOGON.EXE delall %SystemDrive%\USERS\PUBLIC\VIDEOS\SAMPLE VIDEOS\LOGS\WINLOGON.EXE del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\001\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\002\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\003\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\004\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\005\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\006\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\007\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\008\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\009\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\010\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\011\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\012\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\013\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\014\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\015\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\NIKOO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER01\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER02\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER03\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER04\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER05\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER06\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER07\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER08\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER09\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER10\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER11\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\USER19\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT chklst delvir czoo- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Сервер перезагрузите вручную.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
сделал
Где новый лог uVS?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
не могу добавить файл лога превысил предел на форуме
- - - - -Добавлено - - - - -
https://cloud.mail.ru/public/348214a5563f%2FSERVER1C_2014-09-28_20-51-08.7z
Выполните скрипт в uVS:
Компьютер перезагрузите вручную.Код:;uVS v3.83 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c breg del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\20D6B24D26DB1B59396BCABDDDD229C0\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_64\MMCEX\97FE9F12623A9CD6BB058E30F08F20D5\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %Sys32%\LOCALHOST\LOCALCHOST.EXE
Информация
Скачайте te94decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te94decrypt.exe -k 475
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- \helpfiles.exe - Trojan-Ransom.Win32.Xorist.er ( BitDefender: Generic.Malware.Sprn.EA2F069C )
- \helpfiles.exe._4aea5ace463590c5c2bd1cc571851e5e63 0d9331 - Trojan-Ransom.Win32.Xorist.er ( BitDefender: Generic.Malware.Sprn.EA2F069C )
- \smss.exe._650cf7461433277b0e4c1f62d1eb90b4799951d c - Trojan.Win32.Agent.ahbld ( BitDefender: Trojan.GenericKD.1779700 )
Уважаемый(ая) vpup, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.