Вирус зашифровал все файлы [Virus.Win32.Parite.b ]

[Rus2610]

Здравствуйте. Имеется ОС Windows Server 2003 x86. Вирус зашифровал все файлы. Они стали с расширением *.cbf. Сделал логи по инструкции(во втором путнкте не запускал браузер, так как он не открывается) Ссылка на зашифрованые файлы: http://www.ex.ua/87469455

[Info_bot]

Уважаемый(ая) Rus2610, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Сбрутили Вас.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe');
 QuarantineFile('C:\Documents and Settings\admin\Application Data\Sory\uqyg.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\DRM\stub.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\DRM\ha\sound.exe','');
 QuarantineFile('C:\windows\ehome\svchost.exe','');
 QuarantineFile('C:\Program Files\Common Files\Dcom\DCom.exe','');
 QuarantineFile('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe','');
 DeleteFile('c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe','32');
 DeleteFile('C:\windows\ehome\svchost.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\DRM\ha\sound.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\DRM\stub.exe','32');
 DeleteFile('C:\Documents and Settings\admin\Application Data\Sory\uqyg.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','WinHide.SB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','WinHide.SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AudioService','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{F34EA5B7-FAD6-5F20-F690-2F944F1520B8}','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{F34EA5B7-FAD6-5F20-F690-2F944F1520B8}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VVSN','command');
 DeleteService('WmiSrv');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
end.

Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Rus2610]

Сделал все по вышеуказаной инструкции. Новые логи:

[mike 1]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[Rus2610]

Ссылка: http://virusinfo.info/virusdetector/upload.php
Лог заархивировал, так как он весит 1325 Кб

[mike 1]

Ссылка: http://virusinfo.info/virusdetector/upload.php

Ссылка нужна на результаты анализа вашего карантина, а не сама ссылка для загрузки карантина.

[Rus2610]

http://virusinfo.info/virusdetector/...0C1CE4DB058E37

[mike 1]

Заражены файловым вирусом Parite, видимо злодей когда запускал свой шифратор тоже заражен файловым вирусом Parite.

Пролечитесь так http://support.kaspersky.ru/8093, потом сделайте новый лог MBAM и проверку на VirusDetector.

[Rus2610]

Сделал как Вы написали. Ссылка: http://virusinfo.info/virusdetector/...F9E210AB54C0DB
Скажите а восстановить файлы реально будет? Спасибо.

[mike 1]

Скажите а восстановить файлы реально будет?

Нашими силами нет, но возможно смогут помочь в техподдержке DrWeb.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  4
HKLM\SOFTWARE\JetSwap (PUP.Optional.SafeGuard) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb (PUP.Optional.Babylon.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Host Generic Process (Worm.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify|DllName (Trojan.Agent) -> Параметры: wminotify.dll -> Действие не было предпринято.

Обнаруженные папки:  4
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\VVSN (Adware.WhenU) -> Действие не было предпринято.
C:\Program Files\VVSN\URL1 (Adware.WhenU) -> Действие не было предпринято.

Обнаруженные файлы:  42
C:\Program Files\eRightSoft\SUPER\SUPER.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk.0.459238953422755 (PUP.KGBKeylogger) -> Действие не было предпринято.
C:\WINDOWS\System Idle Process.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
C:\WINDOWS\user30.msi (Trojan.Dropper) -> Действие не было предпринято.
C:\Program Files\Common Files\svchost_v2.exe.id-{DSBAMYLWPCKUPXFQISBJWGOZCIQYLUCKNVGR-28.02.2015 23@53@03472608}[email protected] (Trojan.Backdoor.Gen) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\desktop.ini (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\mpk64.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\Mpk64.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\ssleay32.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\target.lnk (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\unins000.0.459238953422755 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\unins000.dat (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8069742824 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8070451736 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8070513194 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\I41960_8073003472 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\VVSN\vvsn.cfg.id-{DSBAMYLWPCKUPXFQISBJWGOZCIQYLUCKNVGR-28.02.2015 23@53@03472608}[email protected] (Adware.WhenU) -> Действие не было предпринято.

Проверьте эти файлы на virustotal

Код:

E:\C_HHD_Reserv\WINDOWS\system32\actmovie.exe
E:\C_HHD_Reserv\WINDOWS\system32\at.exe
E:\C_HHD_Reserv\WINDOWS\system32\odbcconf.exe
E:\C_HHD_Reserv\WINDOWS\system32\setupn.exe
E:\C_HHD_Reserv\WINDOWS\system32\dllcache\route.exe
E:\C_HHD_Reserv\WINDOWS\system32\svchost.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\sysadmin.1cserver\program files\1\1c.b7.exe - Virus.Win32.Parite.b ( DrWEB: Trojan.Encoder.567, BitDefender: Win32.Parite.B, AVAST4: Win32:Parite )