Показано с 1 по 8 из 8.

Зашифрованы файлы .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf (заявка № 178563)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    9

    Зашифрованы файлы .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf

    Сервер WINDOWS 2003. Решил установить все обновления. Оставил на ночь. Утром обнаружил что на рабочем столе странные значки. Не подумав ребутнул. Хорошо что он потом загрузился. Потому что все файлы переименованы. Добавлено после расширения .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}-email-base1c1c1c@gma...er-4.0.0.0.cbf.
    Файлы можно переименовать обратно. Но при просмотре содержимого видно, что туда добавлено еще чтото. Так в текстовых содержится какаято фигня, в картинках тоже. Остальные не проверял. Файлов сотни тысячь, на 3х дисках. Помогите пожалуйста. Инструкцию по составлению заявки прочитал, вроде делаю по инструкции, но на всякий случай извиняюсь, если чтото всетаки делаю не так.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) yuriy-pyzankov, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    9
    Вот ссылка на архив с примером зашифрованных файлов
    https://yadi.sk/d/di16npz-ey8p6

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,647
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files\1\1c.b7.exe','');
     QuarantineFile('C:\windows\TEMP\mna9.tmp','');
     QuarantineFile('c:\temp\lmx3b95.tmp','');
     QuarantineFile('c:\windows\temp\mna9.tmp','');
     DeleteFile('c:\windows\temp\mna9.tmp','32');
     DeleteFile('c:\temp\lmx3b95.tmp','32');
     DeleteFile('C:\windows\TEMP\mna9.tmp','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по правилам

    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    9
    Извините не мог, воспользоваться вашим советом, потому что сам в одном городе а сервер в другом. А ваша утилита рвет соединения. И нужно было что то срочно делать, поэтому было принято решение, самостоятельно восстанавливать. Винда была не повреждена, кроме пользовательских файлов. Поэтому переделал учетки и переустановил несколько программ. Куча зашифрованных файлов - это второстепенно. Главное почта заработала и хорошо. А потом и каспер самостоятельно ожил. Там было установлен эндепоинд секюрити, и его сервер администрирования на SQL. Все был зашифровано. А каспер после того как ожил обнаружил кучи вирусов, всех их уничтожил кроме Virus.Win32.Parite.o
    и Virus.Win32.Parite.b Вот с этим никак не справится. Вручную сносил все *.tmp. после полной проверки каспер показывал что все чисто. Убрал запись в реестре в разделе explorer. Но все равно после перезагрузки в c:\temp появляется файл xxx.tmp размером 172281 кажется, и проявляет активность. Каспер его блокирует и не дает действовать. предлагает спец процедуру лечения, после перезагрузки. но потом все повторяется заново. Подскажите где эта дрянь прячется чтобы его ручками грохнуть.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,647
    Вес репутации
    2917
    Пролечитесь так http://support.kaspersky.ru/viruses/rescuedisk (скачивать и записывать образ на диск на другой, чистой от вирусов машине)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    9
    Хех. Скачать, записать, загрузиться... То есть то, что в предыдущем сообщении написано, что мы с сервером в разных городах, вас не смутило.... :-)))))) Ладно, сам дистанционно зарубил эту гадость, хитро она конечно пряталась, помогла прога Gmer вычислил кусок кода где пряталась сволочь. Рубанул скатину. Правда потом потребовалась помощь девачки, которая жмакнула на ресет, так как сервер завис. Зато потом после перезагрузки и ребилда рейда, наконец то стало все чисто. Жалко старых закодированных архивов. Я так понял, помочь в раскодировании вы не можете?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Оригинальный способ бороться с файловым вирусом, который давно уже заразил сам Gmer. А вообще играете с огнем, gmer запускать на серверной ОС небезопасно сервер может уйти в аут.

    С расшифровкой тут не помогут. Будет только зачистка вирусных следов. Кстати, пароль от RDP смените, а то злодеи зайдут опять на сервер.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Вирус-шифровальщик email-base1c1c1c@gmail.com-ver-4.0.0.0
    От LookingBal в разделе Помогите!
    Ответов: 19
    Последнее сообщение: 22.03.2015, 22:27
  2. Ответов: 14
    Последнее сообщение: 05.03.2015, 11:55
  3. Ответов: 4
    Последнее сообщение: 27.02.2015, 19:38
  4. Ответов: 11
    Последнее сообщение: 14.01.2015, 17:46
  5. Ответов: 26
    Последнее сообщение: 13.01.2015, 11:46

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00494 seconds with 22 queries