Здравствуйте! Буквально вчера словили vault шифровальщик. Зашифровал небольшое количество файлов на серваке (около 9к). Вроде до конца отработал хоть сервак, как заметили вирус, положили. Вручную удалил файлы что нашел (после того как прочел несколько статей), но у некоторых юзеров (Откуда было открыто вложение почты с расширением js) и администратора вылезает баннер. Появляются файлы с расширением .hta и VAULT.KEY. Значит не удалился этот гад. Высылаю логи! Прошу помощи по удалиению и возможно расшифровки! Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fyfyss, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Кто же такой умный нашелся, что умудрился запустить шифровальщика на сервере?
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('D:\UserProfiles\mpp5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
DeleteFile('D:\UserProfiles\mpp5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
ExecuteSysClean;
end.
Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Извините в рабочие дни невозможно было перезагрузить сервер. Вот логи после перезагрузки и карантин не прикреплялся по красной ссылке. Скинул сюда. Спасибо!
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Startup: D:\UserProfiles\Миннуллина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System Check.lnk [2014-09-02]
ShortcutTarget: System Check.lnk -> D:\UserProfiles\Гундерин\AppData\Local\Temp\12\rUEJWpggigwLoi.exe (No File)
FF NewTab: yafd:tabs
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!