Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Зашифрованы файлы - расширение .block [Virus.Win32.Virut.ce ] (заявка № 169980)

  1. #1
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35

    Зашифрованы файлы - расширение .block [Virus.Win32.Virut.ce ]

    Здравствуйте! Были зашифрованы файлы на компьютере с Windows сервер. Была взломана учетка. Причем, видимо два раза за короткий промежуток времени. В последний раз в каждой папке с файлами был создан файл следующего содержания:
    ВНИМАНИЕ!!!
    ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
    БУДЕТ НЕВОЗМОЖНО.


    НЕ РЕКОМЕНДУЕТСЯ:
    - ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
    - ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
    - ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.


    ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА:
    [email protected]


    И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.

    Нужно расшифровать 1С 8. Прикрепляю зашифрованный файл 1Сv8.1CD с расширением .block до этого расширения также всякая хрень, которая была создана предыдущим шифровальщиком, за 2 дня до этого. Однако тогда я с легкостью восстановил базу, прогнав через утилиту восстановления 1С. Теперь так не получилось, возможно из-за того, что шифровальщики наложены друг на друга.

    Прогонять различными утилитами комп побоялся, вдруг это усложнит все.

    https://yadi.sk/d/qTcYqu0ScS2NX
    это база 1с

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Larinego, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    http://virusinfo.info/pravila.html

    Прикрепляю зашифрованный файл 1Сv8.1CD с расширением .block
    А других типов файлов не нашлось или вы думаете, что у всех установлена 1С?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Вот песня, которая тоже была зашифрована
    https://yadi.sk/d/q5JiwPs2cTZDz

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Хорошо где логи по правилам?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Вот hijackthis.log https://yadi.sk/i/iGMtMQiNcTr9P
    Здесь avz.log диагностики https://yadi.sk/d/htoOuP8BcTr9T
    Лог avz карантин не делал, так как серверная виндовс

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#30827)
    Сделайте логи не через терминальную сессию. Логи просьба грузить на форум через расширенный режим.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Вот
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1.
    Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Базы AVZ не обновили.

    2.
    Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#30827)
    Логи сделаны через терминальную сессию. + Похоже старые логи загрузили.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Вот
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте! Меняйте все пароли.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\program files\microsoft ycaeey\nbnfmom.exe');
     TerminateProcessByName('c:\windows\system32\syscbmd.exe');
     TerminateProcessByName('c:\windows\system32\vmware-vmx.exe');
     TerminateProcessByName('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasub.exe');
     TerminateProcessByName('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasppacer.exe');
     TerminateProcessByName('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\waagent.exe');
     TerminateProcessByName('c:\windows\debug\usermode\svchost.exe');
     TerminateProcessByName('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\smss.exe');
     TerminateProcessByName('c:\windows\debug\usermode\msascui.exe');
     TerminateProcessByName('c:\documents and settings\Татьяна\windows\system\explorer\explorer.exe');
     TerminateProcessByName('d:\Архив 1С\Юпитер плюс СВЭЙ от 25.03.14\1cv8log\eb4\eb4.exe');
     TerminateProcessByName('c:\documents and settings\Администратор.ses\windows\cecsus.exe');
     SetServiceStart('Wssccg gakeoeay', 4);
     SetServiceStart('Windows Ddos My Test 3.0', 4);
     SetServiceStart('Serv', 4);
     SetServiceStart('Cdefgh Jklmnopq Stu', 4);
     SetServiceStart('KillAllkvg web Service', 4);
     StopService('Wssccg gakeoeay');
     StopService('Windows Ddos My Test 3.0');
     StopService('Serv');
     StopService('Cdefgh Jklmnopq Stu');
     StopService('KillAllkvg web Service');
     QuarantineFile('C:\WINDOWS\ServTestDos.dll','');
     QuarantineFile('C:\Program Files\RarLab\zero.exe','');
     QuarantineFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasub.exe','');
     QuarantineFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasppacer.exe','');
     QuarantineFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\waagent.exe','');
     QuarantineFile('c:\windows\system32\vmware-vmx.exe','');
     QuarantineFile('c:\windows\system32\syscbmd.exe','');
     QuarantineFile('c:\windows\debug\usermode\svchost.exe','');
     QuarantineFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\smss.exe','');
     QuarantineFile('c:\program files\microsoft ycaeey\nbnfmom.exe','');
     QuarantineFile('c:\windows\debug\usermode\msascui.exe','');
     QuarantineFile('c:\documents and settings\Татьяна\windows\system\explorer\explorer.exe','');
     QuarantineFile('d:\Архив 1С\Юпитер плюс СВЭЙ от 25.03.14\1cv8log\eb4\eb4.exe','');
     QuarantineFile('c:\documents and settings\Администратор.ses\windows\cecsus.exe','');
     DeleteFile('d:\Архив 1С\Юпитер плюс СВЭЙ от 25.03.14\1cv8log\eb4\eb4.exe','32');
     DeleteFile('c:\windows\debug\usermode\svchost.exe','32');
     DeleteFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\waagent.exe','32');
     DeleteFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasppacer.exe','32');
     DeleteFile('c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasub.exe','32');
     DeleteFile('C:\Documents and Settings\Администратор.SES\WINDOWS\cecsus.exe','32');
     DeleteFile('C:\WINDOWS\Debug\UserMode\MSASCui.exe','32');
     DeleteFile('c:\windows\system32\vmware-vmx.exe','32');
     DeleteFile('c:\windows\system32\syscbmd.exe','32');
     DeleteFile('c:\program files\microsoft ycaeey\nbnfmom.exe','32');
     DeleteFile('C:\Documents and Settings\Татьяна\Application Data\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
     DeleteFile('C:\Documents and Settings\Татьяна\WINDOWS\system\explorer\explorer.exe','32');
     DeleteFile('C:\Documents and Settings\Татьяна\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
     DeleteFile('C:\Documents and Settings\Татьяна\Мои документы\Загрузки\Was\smss.exe','32');
     DeleteFile('C:\Program Files\RarLab\zero.exe','32');
     DeleteFile('C:\WINDOWS\ServTestDos.dll','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-549446563-1728162854-2446841471-1008\Software\Microsoft\Windows\CurrentVersion\Run','Windows');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-549446563-1728162854-2446841471-1008\Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ServTestDos\Parameters','ServiceDll');
     DeleteService('Wssccg gakeoeay');
     DeleteService('Windows Ddos My Test 3.0');
     DeleteService('Serv');
     DeleteService('Cdefgh Jklmnopq Stu');
     DeleteService('KillAllkvg web Service');
     DeleteFileMask('C:\Program Files\RarLab', '*', true, ' ');
     DeleteDirectory('C:\Program Files\RarLab');     
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - HKLM\..\Run: [progrmma] C:\Program Files\RarLab\zero.exe
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Скрипт сделал первый раз, потом подумал что под ручной перезагрузкой подразумевалось выключить питание и сделал согласно своим предположениям второй раз (прошу прощения если накосячил) прикрепил оба архива карантина. При попытке пофиксить файл zero не нашел. Интернет екслпрорер 8 не поставил т.к. он походу снят с поддержки и скачать его с сайта микрософт нельзя, если надо откуда еще скачать старый, то сделаю.(кстати на ни на сайт микрософт ни на вирусинфо с зараженного компа не заходит, на другие - вроде норм).

    Скажите пожалуйста Мике, а мы хоть немного приближаемся к расшифровке файлов нужных, или это дело гиблое? Прости меня за мое нубство, просто волнуюсь...

    - - - - -Добавлено - - - - -

    вот лог при запуске скрипта первый раз
    >>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Сергей Васильевич\WINDOWS\system32\smss.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=0A6380)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
    SDT = 808A6380
    KiST = 80834190 (296)
    Проверено функций: 296, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    Анализ для процессора 3
    Анализ для процессора 4
    CmpCallCallBacks = 00000000
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Драйвер успешно загружен
    Проверка завершена
    [TerminateProcess]: Процесс успешно остановлен (1816 nbnfmom.exe)
    [TerminateProcess]: Процесс успешно остановлен (1340 syscbmd.exe)
    [TerminateProcess]: Процесс успешно остановлен (1776 vmware-vmx.exe)
    [TerminateProcess]: Процесс успешно остановлен (13300 wasub.exe)
    [TerminateProcess]: Процесс успешно остановлен (2168 wasppacer.exe)
    [TerminateProcess]: Процесс успешно остановлен (4712 waagent.exe)
    [TerminateProcess]: Процесс успешно остановлен (1704 svchost.exe)
    [TerminateProcess]: Процесс успешно остановлен (652 smss.exe)
    [TerminateProcess]: Процесс успешно остановлен (1496 msascui.exe)
    [TerminateProcess]: Процесс успешно остановлен (2564 explorer.exe)
    [TerminateProcess]: Процесс успешно остановлен (7956 eb4.exe)
    [TerminateProcess]: Процесс успешно остановлен (1268 cecsus.exe)
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ServTestDos.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ServTestDos.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка [2, QUARANTINEFILE]
    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\RarLab\zero.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\RarLab\zero.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasub.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasppacer.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Татьяна\Мои документы\Загрузки\was\waagent.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\windows\system32\vmware-vmx.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\windows\system32\syscbmd.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\windows\debug\usermode\svchost.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Татьяна\Мои документы\Загрузки\was\smss.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\program files\microsoft ycaeey\nbnfmom.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\windows\debug\usermode\msascui.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Татьяна\windows\system\explorer\explorer. exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (d:\Архив 1С\Юпитер плюс СВЭЙ от 25.03.14\1cv8log\eb4\eb4.exe)
    Ошибка [2, QUARANTINEFILE]
    Файл успешно помещен в карантин (c:\documents and settings\Администратор.ses\windows\cecsus.exe)
    Ошибка [2, QUARANTINEFILE]
    Удаление файла: d:\Архив 1С\Юпитер плюс СВЭЙ от 25.03.14\1cv8log\eb4\eb4.exe
    Удаление файла: c:\windows\debug\usermode\svchost.exe
    Удаление файла: c:\documents and settings\Татьяна\Мои документы\Загрузки\was\waagent.exe
    Удаление файла: c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasppacer.exe
    Удаление файла: c:\documents and settings\Татьяна\Мои документы\Загрузки\was\wasub.exe
    Удаление файла: C:\Documents and Settings\Администратор.SES\WINDOWS\cecsus.exe
    Удаление файла: C:\WINDOWS\Debug\UserMode\MSASCui.exe
    Удаление файла: c:\windows\system32\vmware-vmx.exe
    Удаление файла: c:\windows\system32\syscbmd.exe
    Удаление файла: c:\program files\microsoft ycaeey\nbnfmom.exe
    Удаление файла: C:\Documents and Settings\Татьяна\Application Data\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    Удаление файла: C:\Documents and Settings\Татьяна\WINDOWS\system\explorer\explorer. exe
    Удаление файла: C:\Documents and Settings\Татьяна\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    Удаление файла: C:\Documents and Settings\Татьяна\Мои документы\Загрузки\Was\smss.exe
    Удаление файла: C:\Program Files\RarLab\zero.exe
    >>>Для удаления файла C:\Program Files\RarLab\zero.exe необходима перезагрузка
    Удаление файла: C:\WINDOWS\ServTestDos.dll
    >>>Для удаления файла C:\WINDOWS\ServTestDos.dll необходима перезагрузка
    [микропрограмма лечения]> удален параметр Windows ключа HKEY_USERS\S-1-5-21-549446563-1728162854-2446841471-1008\Software\Microsoft\Windows\CurrentVersion\Run
    [микропрограмма лечения]> удален параметр Windows Session Manager ключа HKEY_USERS\S-1-5-21-549446563-1728162854-2446841471-1008\Software\Microsoft\Windows\CurrentVersion\Run
    [микропрограмма лечения]> удален параметр progrmma ключа HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    [микропрограмма лечения]> удален параметр ServiceDll ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ServTestDos\Parameters
    Удаление службы/драйвера: Wssccg gakeoeay
    [микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Wssccg gakeoeay
    Удаление службы/драйвера: Windows Ddos My Test 3.0
    [микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Windows Ddos My Test 3.0
    Удаление службы/драйвера: Serv
    [микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Serv
    Удаление службы/драйвера: Cdefgh Jklmnopq Stu
    [микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdefgh Jklmnopq Stu
    Удаление службы/драйвера: KillAllkvg web Service
    [микропрограмма лечения]> удален ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\KillAllkvg web Service
    Удаление файла:C:\Program Files\RarLab\ *
    Автоматическая чистка следов удаленных в ходе лечения программ
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скажите пожалуйста Мике, а мы хоть немного приближаемся к расшифровке файлов нужных, или это дело гиблое?
    Всему свое время. Расшифровать файлы можно, но у вас сервер достаточно сильно заражен, поэтому сначала лечение, а потом все остальное. К тому же ресурсы вашего сервера используют для брута других серверов. Меняйте на сервере все пароли.

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.84.1 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.2
      v384c
      breg
      
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\DEK\DUBRUTE_2.1\SVCHOST.EXE
      delall %SystemRoot%\TEMP\428044437.BAT
      delall %SystemRoot%\TEMP\630743484.BAT
      delall %SystemRoot%\TEMP\631436531.BAT
      delall %SystemRoot%\TEMP\639578078.BAT
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\LOCAL SETTINGS\TEMP\2\671179921.BAT
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\LOCAL SETTINGS\TEMP\2\671278843.BAT
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\LOCAL SETTINGS\TEMP\2\671387984.BAT
      delall %SystemRoot%\TEMP\812794156.BAT
      delall %SystemRoot%\TEMP\816196937.BAT
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\РАБОЧИЙ СТОЛ\123.EXE
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\РАБОЧИЙ СТОЛ\123.EXE
      zoo %SystemRoot%\RU631223125.EXE
      delall %SystemRoot%\RU631223125.EXE
      zoo %SystemRoot%\RU813653593.EXE
      delall %SystemRoot%\RU813653593.EXE
      zoo D:\DISTRIBU\INTERNET\XPI\SMSS.EXE
      zoo D:\DISTRIBU\INTERNET\XPI\ALG.EXE
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\PROGRAM FILES\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\3\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\8\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР.SES\PROGRAM FILES\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\НИКИТА\LOCAL SETTINGS\TEMP\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ ВАСИЛЬЕВИЧ\PROGRAM FILES\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\LOCAL SETTINGS\TEMP\5\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\LOCAL SETTINGS\TEMP\6\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\LOCAL SETTINGS\TEMP\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ТАТЬЯНА\PROGRAM FILES\RARLAB
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\DEK\DUBRUTE_2.1
      czoo
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


    Сделайте новый лог uVS.

    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Вот
    Ссылка
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    А у вас еще файловый вирус откуда-то взялся

    Пролечите сервер так http://virusinfo.info/showthread.php?t=15927 (вариант с LiveCD диском), потом сделайте новые логи AVZ.

    - - - - -Добавлено - - - - -

    virusinfo_auto_имя_вашего_ПК.zip
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Вроде высылал virusinfo_auto_SES.zip, загрузил повторно
    Результат загрузки

    Файл сохранён как 141106_154113_virusinfo_auto_SES_545b969962300.zip
    Размер файла 4573028
    MD5 603cc3b9fdd066b52136da4b44f163dd
    Файл закачан, спасибо!


  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Карантин дошел.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Ок. Образ сделаю и просканирую. Но это смогу сделать только в понедельник. Я отключил NAT на этот сервер. Бухгалтерия плачет... Я вообще могу от интернета отключить сервер. Можно как-то параллельно лечить и восстановить данные?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Можно как-то параллельно лечить и восстановить данные?
    Можно, но у нас расшифровка идет отдельной услугой http://virusinfo.info/content.php?r=639-decoding. Расшифровать файлы можем, но давайте сразу договоримся, что после расшифровки файлов вы эту тему не бросите и доведете лечение до конца.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Priority Member Репутация
    Регистрация
    30.10.2014
    Сообщений
    15
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Можно, но у нас расшифровка идет отдельной услугой http://virusinfo.info/content.php?r=639-decoding. Расшифровать файлы можем, но давайте сразу договоримся, что после расшифровки файлов вы эту тему не бросите и доведете лечение до конца.
    Конечно, это же в моих интересах!

  • Уважаемый(ая) Larinego, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. зашифрованы файлы. расширение just
      От aisa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.10.2014, 18:44
    2. Зашифрованы файлы расширение just
      От Shtorm84 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.07.2014, 08:39
    3. Ответов: 9
      Последнее сообщение: 23.07.2014, 15:55
    4. Файлы зашифрованы (расширение *.LAK)
      От scc72 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.07.2013, 09:04
    5. Файлы зашифрованы (расширение *.LAK)
      От Ildar Usmanov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2013, 14:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00742 seconds with 20 queries