Сервер WINDOWS 2003. Решил установить все обновления. Оставил на ночь. Утром обнаружил что на рабочем столе странные значки. Не подумав ребутнул. Хорошо что он потом загрузился. Потому что все файлы переименованы. Добавлено после расширения .id-{GOCZZWGNAHIIVWDDNKRUBVCCNNNRBBIFTQWD-01.03.2015 1@50@278144310}[email protected].
Файлы можно переименовать обратно. Но при просмотре содержимого видно, что туда добавлено еще чтото. Так в текстовых содержится какаято фигня, в картинках тоже. Остальные не проверял. Файлов сотни тысячь, на 3х дисках. Помогите пожалуйста. Инструкцию по составлению заявки прочитал, вроде делаю по инструкции, но на всякий случай извиняюсь, если чтото всетаки делаю не так.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yuriy-pyzankov, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\1\1c.b7.exe','');
QuarantineFile('C:\windows\TEMP\mna9.tmp','');
QuarantineFile('c:\temp\lmx3b95.tmp','');
QuarantineFile('c:\windows\temp\mna9.tmp','');
DeleteFile('c:\windows\temp\mna9.tmp','32');
DeleteFile('c:\temp\lmx3b95.tmp','32');
DeleteFile('C:\windows\TEMP\mna9.tmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Извините не мог, воспользоваться вашим советом, потому что сам в одном городе а сервер в другом. А ваша утилита рвет соединения. И нужно было что то срочно делать, поэтому было принято решение, самостоятельно восстанавливать. Винда была не повреждена, кроме пользовательских файлов. Поэтому переделал учетки и переустановил несколько программ. Куча зашифрованных файлов - это второстепенно. Главное почта заработала и хорошо. А потом и каспер самостоятельно ожил. Там было установлен эндепоинд секюрити, и его сервер администрирования на SQL. Все был зашифровано. А каспер после того как ожил обнаружил кучи вирусов, всех их уничтожил кроме Virus.Win32.Parite.o
и Virus.Win32.Parite.b Вот с этим никак не справится. Вручную сносил все *.tmp. после полной проверки каспер показывал что все чисто. Убрал запись в реестре в разделе explorer. Но все равно после перезагрузки в c:\temp появляется файл xxx.tmp размером 172281 кажется, и проявляет активность. Каспер его блокирует и не дает действовать. предлагает спец процедуру лечения, после перезагрузки. но потом все повторяется заново. Подскажите где эта дрянь прячется чтобы его ручками грохнуть.
Хех. Скачать, записать, загрузиться... То есть то, что в предыдущем сообщении написано, что мы с сервером в разных городах, вас не смутило.... :-)))))) Ладно, сам дистанционно зарубил эту гадость, хитро она конечно пряталась, помогла прога Gmer вычислил кусок кода где пряталась сволочь. Рубанул скатину. Правда потом потребовалась помощь девачки, которая жмакнула на ресет, так как сервер завис. Зато потом после перезагрузки и ребилда рейда, наконец то стало все чисто. Жалко старых закодированных архивов. Я так понял, помочь в раскодировании вы не можете?
Оригинальный способ бороться с файловым вирусом, который давно уже заразил сам Gmer. А вообще играете с огнем, gmer запускать на серверной ОС небезопасно сервер может уйти в аут.
С расшифровкой тут не помогут. Будет только зачистка вирусных следов. Кстати, пароль от RDP смените, а то злодеи зайдут опять на сервер.