Вирус зашифровал все файлы [Virus.Win32.Parite.b
]
Здравствуйте. Имеется ОС Windows Server 2003 x86. Вирус зашифровал все файлы. Они стали с расширением *.cbf. Сделал логи по инструкции(во втором путнкте не запускал браузер, так как он не открывается) Ссылка на зашифрованые файлы: http://www.ex.ua/87469455
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Rus2610, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe');
QuarantineFile('C:\Documents and Settings\admin\Application Data\Sory\uqyg.exe','');
QuarantineFile('C:\Documents and Settings\All Users\DRM\stub.exe','');
QuarantineFile('C:\Documents and Settings\All Users\DRM\ha\sound.exe','');
QuarantineFile('C:\windows\ehome\svchost.exe','');
QuarantineFile('C:\Program Files\Common Files\Dcom\DCom.exe','');
QuarantineFile('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe','');
DeleteFile('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe','32');
DeleteFile('C:\windows\ehome\svchost.exe','32');
DeleteFile('C:\Documents and Settings\All Users\DRM\ha\sound.exe','32');
DeleteFile('C:\Documents and Settings\All Users\DRM\stub.exe','32');
DeleteFile('C:\Documents and Settings\admin\Application Data\Sory\uqyg.exe','32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','WinHide.SB');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','WinHide.SB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AudioService','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{F34EA5B7-FAD6-5F20-F690-2F944F1520B8}','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{F34EA5B7-FAD6-5F20-F690-2F944F1520B8}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VVSN','command');
DeleteService('WmiSrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Нашими силами нет, но возможно смогут помочь в техподдержке DrWeb.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 4
HKLM\SOFTWARE\JetSwap (PUP.Optional.SafeGuard) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb (PUP.Optional.Babylon.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process (Worm.Agent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify|DllName (Trojan.Agent) -> Параметры: wminotify.dll -> Действие не было предпринято.
Обнаруженные папки: 4
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\VVSN (Adware.WhenU) -> Действие не было предпринято.
C:\Program Files\VVSN\URL1 (Adware.WhenU) -> Действие не было предпринято.
Обнаруженные файлы: 42
C:\Program Files\eRightSoft\SUPER\SUPER.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk.0.459238953422755 (PUP.KGBKeylogger) -> Действие не было предпринято.
C:\WINDOWS\System Idle Process.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
C:\WINDOWS\user30.msi (Trojan.Dropper) -> Действие не было предпринято.
C:\Program Files\Common Files\svchost_v2.exe.id-{DSBAMYLWPCKUPXFQISBJWGOZCIQYLUCKNVGR-28.02.2015 23@53@03472608}[email protected] (Trojan.Backdoor.Gen) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\desktop.ini (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk64.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\Mpk64.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\ssleay32.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\target.lnk (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\unins000.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\unins000.dat (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8069742824 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8070451736 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8070513194 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8073003472 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\VVSN\vvsn.cfg.id-{DSBAMYLWPCKUPXFQISBJWGOZCIQYLUCKNVGR-28.02.2015 23@53@03472608}[email protected] (Adware.WhenU) -> Действие не было предпринято.
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: