Показано с 1 по 8 из 8.

Зашифрованы файлы .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}[email protected] (заявка № 178563)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    36

    Зашифрованы файлы .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}[email protected]

    Сервер WINDOWS 2003. Решил установить все обновления. Оставил на ночь. Утром обнаружил что на рабочем столе странные значки. Не подумав ребутнул. Хорошо что он потом загрузился. Потому что все файлы переименованы. Добавлено после расширения .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}[email protected].
    Файлы можно переименовать обратно. Но при просмотре содержимого видно, что туда добавлено еще чтото. Так в текстовых содержится какаято фигня, в картинках тоже. Остальные не проверял. Файлов сотни тысячь, на 3х дисках. Помогите пожалуйста. Инструкцию по составлению заявки прочитал, вроде делаю по инструкции, но на всякий случай извиняюсь, если чтото всетаки делаю не так.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) yuriy-pyzankov, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    36
    Вот ссылка на архив с примером зашифрованных файлов
    https://yadi.sk/d/di16npz-ey8p6

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files\1\1c.b7.exe','');
     QuarantineFile('C:\windows\TEMP\mna9.tmp','');
     QuarantineFile('c:\temp\lmx3b95.tmp','');
     QuarantineFile('c:\windows\temp\mna9.tmp','');
     DeleteFile('c:\windows\temp\mna9.tmp','32');
     DeleteFile('c:\temp\lmx3b95.tmp','32');
     DeleteFile('C:\windows\TEMP\mna9.tmp','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Компьютер перезагрузите вручную.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по правилам

    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    36
    Извините не мог, воспользоваться вашим советом, потому что сам в одном городе а сервер в другом. А ваша утилита рвет соединения. И нужно было что то срочно делать, поэтому было принято решение, самостоятельно восстанавливать. Винда была не повреждена, кроме пользовательских файлов. Поэтому переделал учетки и переустановил несколько программ. Куча зашифрованных файлов - это второстепенно. Главное почта заработала и хорошо. А потом и каспер самостоятельно ожил. Там было установлен эндепоинд секюрити, и его сервер администрирования на SQL. Все был зашифровано. А каспер после того как ожил обнаружил кучи вирусов, всех их уничтожил кроме Virus.Win32.Parite.o
    и Virus.Win32.Parite.b Вот с этим никак не справится. Вручную сносил все *.tmp. после полной проверки каспер показывал что все чисто. Убрал запись в реестре в разделе explorer. Но все равно после перезагрузки в c:\temp появляется файл xxx.tmp размером 172281 кажется, и проявляет активность. Каспер его блокирует и не дает действовать. предлагает спец процедуру лечения, после перезагрузки. но потом все повторяется заново. Подскажите где эта дрянь прячется чтобы его ручками грохнуть.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Пролечитесь так http://support.kaspersky.ru/viruses/rescuedisk (скачивать и записывать образ на диск на другой, чистой от вирусов машине)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    5
    Вес репутации
    36
    Хех. Скачать, записать, загрузиться... То есть то, что в предыдущем сообщении написано, что мы с сервером в разных городах, вас не смутило.... :-)))))) Ладно, сам дистанционно зарубил эту гадость, хитро она конечно пряталась, помогла прога Gmer вычислил кусок кода где пряталась сволочь. Рубанул скатину. Правда потом потребовалась помощь девачки, которая жмакнула на ресет, так как сервер завис. Зато потом после перезагрузки и ребилда рейда, наконец то стало все чисто. Жалко старых закодированных архивов. Я так понял, помочь в раскодировании вы не можете?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Оригинальный способ бороться с файловым вирусом, который давно уже заразил сам Gmer. А вообще играете с огнем, gmer запускать на серверной ОС небезопасно сервер может уйти в аут.

    С расшифровкой тут не помогут. Будет только зачистка вирусных следов. Кстати, пароль от RDP смените, а то злодеи зайдут опять на сервер.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Вирус-шифровальщик [email protected]
    От LookingBal в разделе Помогите!
    Ответов: 19
    Последнее сообщение: 22.03.2015, 22:27
  2. Ответов: 14
    Последнее сообщение: 05.03.2015, 11:55
  3. Ответов: 4
    Последнее сообщение: 27.02.2015, 19:38
  4. Ответов: 11
    Последнее сообщение: 14.01.2015, 17:46
  5. Зашифрованные фалы [email protected], server 2003 sp2 x86
    От Vadim Magerramov в разделе Помогите!
    Ответов: 26
    Последнее сообщение: 13.01.2015, 11:46

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00085 seconds with 18 queries