Добрый день!
На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.
Добрый день!
На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.
Уважаемый(ая) Олег Резник, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin SearchRootkit(true, true); QuarantineFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', ''); QuarantineFileF('C:\Documents and Settings\terminal_\Program Files (x86)\1', '*', true, '', 0, 0, '', '', ''); DeleteFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'progrmma'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Смените пароли на учётки с администраторскими правами и с правами работы в терминальном режиме, у кого они были не по делу - отобрать права администратора. Запускался шифровальщик под пользователем terminal_ - с ним в первую очередь разберитесь.
Доступ по RDP к серверу только из локальной сети, или из интернета?
WBR,
Vadim
Доступ по RDP к серверу из локальной сети и из интернета. Файл с карантином отправил по ссылке "Прислать запрошенный карантин".
Удалите папку C:\Documents and Settings\terminal_\Program Files (x86)\1.
С расшифровкой не поможем.
Восстанавливайте из бэкапов, пробуйте найти в расшаренных папках на вкладке "Предыдущие версии".
Рекомендации по безопасности:
Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
WBR,
Vadim
Большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\terminal_\program files (x86)\1\1cb.exe - Trojan-Ransom.Win32.Cryakl.ar ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Олег Резник, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.