Здравствуйте.
Стоит Win 2008 R2 64 сервер терминалов. была взломана учетка, занесен вирус.
Тело вируса восстановлено R-Studio. Kaspersky определяет как Trojan-Ransom.Win32.Xorist.er.
AVZ восстановленный файл пропустил, в карантин не поместил.
Зашифрованы файлы doc xls zip rar dbf 1CD имеют расширение *.EnCiPhErEd
Остро нуждаемся в помощи.
Спасибо.
PS в приложенных файлах, находится архив с зашифрованным файлом.
Эл. почта злоумышленников: [email protected]
Тел на который просят положить деньги: 79038247800 (Билайн)
Последний раз редактировалось IvanSIB; 06.10.2014 в 06:36.
Причина: почта, телефон
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) IvanSIB, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\3\ZQvjBE47gWJ91L3.exe','');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\3\ZQvjBE47gWJ91L3.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Выполнил все по указанной инструкции. Результат:
1. AVZ выполнил скрипт, но карантин пустой. Думаю что в реестре 'C:\Users\836D~1\AppData\Local\Temp\3\ZQvjBE47gWJ9 1L3.exe' осталось из предыдущего и давно прибито.
2. HiJackThis'ом подчистил
3. Universal Virus Sniffer (uVS) начинает анализировать автозапуск и вылетает.
4. Приложил обновленные логи.
Universal Virus Sniffer (uVS) начинает анализировать автозапуск и вылетает.
Пожалуйста сделайте дамп процесса следующим образом. Воспроизведите проблему с ошибкой и не закрывая окошка с ошибкой сделайте дамп процесса через диспетчер задач. Полученный дамп загрузите на rghost, а здесь напишите ссылку на его загрузку.
При попытке создать дамп, выскочило окно, о том что доступ запрещен. Отключил контроль учетных записей, ребут, дамп создался. архив http://rghost.ru/58377303
- - - - -Добавлено - - - - -
Уважаемый, mike 1 & CO, спасибо, за все прилагаемые усилия. Подскажите, я с самого начала отправил через форму "Прислать запрошенный карантин", архив восстановленного вируса. Это как то помогло или нет?
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Большое спасибо, команде Virusinfo.info и отдельная благодарность mike 1, за быструю и квалифицированную помощь!!!
На днях закину денег для поддержки проекта.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: