Lockdir.exe ver.5.6.0.95 зашифровал папки на системе Server 2003. В файле "выход есть.png" указана почта [email protected] и указан номер в системе 769586.
Ни один вариант из http://virusinfo.info/showthread.php?t=120806 не подошел :-(
Согласно правилам сканы сделаны и прикреплены.
Надеюсь на Вашу помощь и заранее благодарю!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vint83, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\UniCryptH\UniCryptH.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Моя музыка\My Playlists\winlogon.exe','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Моя музыка\My Playlists\winlogon.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows NT Logon Application');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ!
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
В следующем вашем ответе мне требуются следующие отчеты:
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\88XE11H7\238[1].exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OPI74HIN\238[1].exe
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Шаг 2. (Выполняйте только после выполнения шага 1)
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Объекты реестра обнаружены: 1
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Плохо: (C:\RECYCLER\S-1-5-18\$519b96bab6825349090da5e429ec4c51\n.) Хорошо: (fastprox.dll) -> Действие не было предпринято.
Обнаруженные файлы: 20
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\88XE11H7\238[1].exe (Trojan.FakeMS.ED) -> Действие не было предпринято.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OPI74HIN\238[1].exe (Trojan.FakeMS.ED) -> Действие не было предпринято.
C:\Program Files\Common Files\Microsoft Shared\SD\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
C:\WINDOWS\inf\UltraISO.inf (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\inf\UltraISO.PNF (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратоp.SOROS\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
Шаг 3.
Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe.
Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
В процессе проверки могут быть обнаружены объекты двух типов:
вредоносные (точно было установлено, какой вредоносной программой поражен объект);
подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания консультанта ничего не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
1. Просьба разъяснить Шаг 1. Карантин выгрузить из MBAM(если да, то как правильно это сделать) или с помощью AVZ согласно Приложения 2 правил по красной ссылке? (MBAM не закрывал после завершения сканирования, т.е. AVZ сейчас не может получить доступ к этим файлам) Можно более подробно что и как делать? На экране сейчас: Скрин.JPG
2. По шагу 2. Удаляю только то, что указано и после этого закрываю MBAM и перехожу к шагу 3?
3. По шагу 3. Пункты 6+9 противоречат п.8, как я понимаю. Если выполняется п.6 "Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить" + п.9 "После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат", то п.8 "Самостоятельно без указания консультанта ничего не удаляйте!!!" выполнить будет уже не возможно! Или имеется в виду, что на п.8 нужно обратиться за дальнейшей инструкцией?
Последний раз редактировалось vint83; 30.01.2015 в 03:03.
Нужно найти эти файлы через проводник Windows и заархивировать эти файлы с помощью AVZ, или заархивировать их самостоятельно в zip архив с паролем virus и прислать архив с карантином по красной ссылке вверху темы.
2. По шагу 2. Удаляю только то, что указано и после этого закрываю MBAM и перехожу к шагу 3?
Да.
3. По шагу 3. Пункты 6+9 противоречат п.8, как я понимаю. Если выполняется п.6 "Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить" + п.9 "После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат", то п.8 "Самостоятельно без указания консультанта ничего не удаляйте!!!" выполнить будет уже не возможно! Или имеется в виду, что на п.8 нужно обратиться за дальнейшей инструкцией?
Если будут найдены угрозы, то лучше выбрать действие "Пропустить".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: