Какая то зараза зашифровала файлы. Приобрели вид: Conv44.txt.id-9435681244813089-paycrypt@aol
Возможно дешифровать?
Какая то зараза зашифровала файлы. Приобрели вид: Conv44.txt.id-9435681244813089-paycrypt@aol
Возможно дешифровать?
Последний раз редактировалось MegaTech; 22.03.2016 в 17:02.
Уважаемый(ая) MegaTech, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Логи AVZ сделаны в терминальной сессии, сделайте их из консоли.
AVZ запущен из терминальной сессии (RDP-Tcp#1)
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал.
Логи AVZ сделаны в терминальной сессии, сделайте их не используя RDP, т.е. в нормальном режиме.
AVZ запущен из терминальной сессии (RDP-Tcp#0)
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Не из под RDP.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Перезагрузите сервер.Код:begin QuarantineFile('c:\windows\net\net\wahiver.exe',''); QuarantineFile('c:\windows\inf\drv\vds.exe',''); QuarantineFile('c:\windows\jav\javase.exe',''); QuarantineFile('c:\windows\jav\javaw.exe',''); QuarantineFile('c:\windows\inf\drv\lsm.exe',''); QuarantineFile('c:\windows\inf\vps\lsass.exe',''); BC_ImportQuarantineList; BC_Activate; end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Образ.
Знакома ли Вам?
Обнаружены следующие зловреды:c:\windows\inf\vps\lsass.exe
Выполните скрипт в uVS:c:\windows\jav\javaw.exe - Trojan.DownLoader15.1203
c:\windows\inf\drv\vds.exe - Trojan.DownLoader15.1203
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE BREG unload %SystemRoot%\JAV\JAVASE.EXE unload %SystemRoot%\JAV\JAVAW.EXE unload %SystemRoot%\INF\DRV\VDS.EXE zoo %SystemRoot%\JAV\JAVASE.EXE zoo %SystemRoot%\JAV\JAVAW.EXE zoo %SystemRoot%\INF\VPS\LSASS.EXE zoo %SystemRoot%\INF\DRV\LSM.EXE zoo %SystemRoot%\INF\VPS\SSMS.EXE zoo %SystemRoot%\INF\DRV\VDS.EXE zoo %SystemDrive%\USERS\PRINT\SAVED GAMES\WS\WAHIVER.EXE zoo %SystemDrive%\USERS\PRINT\SAVED GAMES\WS\WASP.EXE zoo %SystemRoot%\INF\ASP\ASP.NET\WMISVR.EXE del %SystemRoot%\INF\DRV\VDS.EXE del %SystemRoot%\JAV\JAVAW.EXE del %SystemRoot%\JAV\JAVASE.EXE zoo %SystemDrive%\USERS\PRINT\YACHTINGPOKER\UNINST.EXE zoo %SystemRoot%\NET\NET\WASPWING.EXE zoo %SystemRoot%\NET\NET\WASP.EXE zoo %SystemRoot%\NET\NET\WAHIVER.EXE zoo %SystemRoot%\NET\NET\SSLEAY32.DLL zoo %SystemRoot%\NET\NET\SQLITE3.DLL zoo %SystemRoot%\NET\NET\MSVCR71.DLL zoo %SystemRoot%\NET\NET\LIBGLESV2.DLL zoo %SystemRoot%\NET\NET\LIBEGL.DLL zoo %SystemRoot%\NET\NET\LIBEAY32.DLL zoo %SystemRoot%\NET\NET\LIBCEF.DLL zoo %SystemRoot%\NET\NET\ICUDT.DLL zoo %SystemRoot%\NET\NET\FFMPEGSUMO.DLL QUIT
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикладываю.
Ранее так и не ответили:
Также образовался ли каранти после выполнения uvs?
Что из следующего Вам знакома?
Имеется ли какая-то ограничевающая политика на сервере?() C:\Windows\inf\drv\lsm.exe
() C:\Windows\inf\vps\lsass.exe
() C:\Windows\inf\vps\ssms.exe
- - 00000000 _____ () C:\Windows\NET\NET\sqlite3.dll
- - 00000000 _____ () C:\Windows\NET\NET\libcef.dll
- - 00000000 _____ () C:\Windows\NET\NET\libglesv2.dll
- - 00000000 _____ () C:\Windows\NET\NET\libegl.dll
- - 00000000 _____ () C:\Windows\NET\NET\ffmpegsumo.dll
S2 javainstall; C:\Windows\jav\JavaSE.exe [X]
R2 vdmgr; C:\Windows\Inf\drv\lsm.exe [X]
R2 wmi; C:\Windows\Inf\vps\lsass.exe [X]
Startup: C:\Users\print\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\wahiver.exe - Ярлык.lnk [2015-11-12]
GroupPolicyScripts: Restriction <======= ATTENTION
Важно перед выполнением завершите все процесс, также если имеется база-данных SQL то рекомендуется ее предварительно завершить.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ShortcutTarget: wahiver.exe - Ярлык.lnk -> C:\Users\Администратор\Saved Games\ws\wahiver.exe (No File) Folder: C:\ExtForms 2016-03-25 13:17 - 2015-08-12 06:46 - 00000000 ____D C:\Windows\jav Folder: C:\Windows\SysWOW64\nu 2012-05-29 15:28 - 2012-05-29 15:28 - 0000002 _____ () C:\Program Files (x86)\mshexc.bmp- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что сервер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Карантин не создался, ничего из списка не знакомо.
Перед следующими манипуляции необходимо сделать резервную точку восстановления:
Для этого в командной строке (cmd.exe) в привилегированном режиме (Run as Administrator) выполните следующую команду:Error: (0) Failed to create a restore point.
Также чтобы убедиться, что все прошло удачно выполните следующее:Код:powershell -command enable-computerrestore -drive \"C:\\\"
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, после выполнения возможно потребуется перезагрузить сервер.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.
C:\Users\Администратор\AppData\Roaming\Microsoft\W indows\Start Menu\Программы>po
wershell -command enable-computerrestore -drive "C:\\"
enable-computerrestore : Данная функция не поддерживается в текущей операционной системе.
строка:1 знак:1
+ enable-computerrestore -drive "C:"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: ( [Enable-ComputerRestore],
ArgumentException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.EnableComputerRest
oreCommand
C:\Users\Администратор\AppData\Roaming\Microsoft\W indows\Start Menu\Программы>po
wershell -command enable-computerrestore -drive "C:\\"
Уточните пожалуйста в "Свойстве системы" (System Properties) присутствует вкладка "Безопасность" (System Protection)?
Скорее на Windows Server 2008 R2 данный функционал отсутсвует, Вам придется в начале выполнить резерную копию состояние системы.
Для этого Вам следует убедиться, что установили компонент Windows Backup Server, для того чтобы если пойдет что-то не так была возможность откатиться до предыдущего состояния.
Как только сделайте резервную копии состояния системы, можете перейти к следуюещий инструкции:
Важно перед выполнением завершите все процесс, также если имеется база-данных SQL то рекомендуется ее предварительно завершить.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Windows\NET\NET\sqlite3.dll File: C:\Windows\NET\NET\libcef.dll File: C:\Windows\NET\NET\libglesv2.dll File: C:\Windows\NET\NET\libegl.dll File: C:\Windows\NET\NET\ffmpegsumo.dll S2 javainstall; C:\Windows\jav\JavaSE.exe [X]- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, сервер будет перезагружен.
Последний раз редактировалось SQ; 26.03.2016 в 12:13.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Также уточните, если сами устанавливали WaspAce?
P.S. Также если незнаете как зашифровались файлы, рекомендуется сменить пароли на сервере.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Нет WaspAce не ставил. Пароли сменил. Расшифровать файлы возможно?
Тогда удалите WaspAce.
Важно перед выполнением завершите все процессы, также если имеется база-данных SQL то рекомендуется ее предварительно завершить.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CMD: taskkill /im wahiver.exe /f CMD: taskkill /im wasp.exe /f CMD: taskkill /im waspwing.exe /f C:\Windows\NET\NET\wahiver.exe C:\Windows\NET\NET\wasp.exe C:\Windows\NET\NET\waspwing.exe C:\Windows\NET\NET- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что сервер будет перезагружен.
Что из этого Вам известно?
С расшифровкой не поможем.() C:\Windows\inf\ASP\ASP.net\wmisvr.exe
() C:\Windows\inf\ASP\ASP.net\wmisvr.exe
() C:\Windows\IME\sql\sqlmgr\sqlmgr.exe
() C:\Windows\IME\sql\sqlmgr\sqlmgr.exe
() C:\Windows\IME\sql\sqlmgr\sqlmgr.exe
() C:\Windows\inf\vps\lsass.exe
() C:\Windows\inf\vps\ssms.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) MegaTech, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.