-
Junior Member
- Вес репутации
- 30
Помогите расшифровать файлы. Ситуация 1-в-1 как у minusles. [HEUR:Trojan.Win32.Generic
]
В каждой папке файл с именем "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
Содержимое файлов:
Все ваши файлы зашифрованы!
Если хотите расшифровать свои файлы, то пишите на email: [email protected]
Стоимость расшифровки 6500 руб.,спешите! Возможно повышение цены!
У файлов расширение .toste
Все как у minusles , саму заразу нашел NOD32, прога-вымогатель tos.exe.
Temp почищен, но все вири в карантине у NODa
Windows server 2003
образцы зараженных файлов
https://yadi.sk/d/yEPgiCbwrXZcd
https://yadi.sk/d/XVbXINsJrXZh2
https://yadi.sk/d/MApNWmgBrXZiK
Логи AVZ и Hijackthis
hijackthis.log
https://yadi.sk/d/FrH_KLnArXcmK
Последний раз редактировалось Toxa111; 06.05.2016 в 16:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Toxa111, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Интересно, какому умнику пришло в голову запустить вирус прямо на сервере...
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Sfe23Re2NrmT46v.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Sfe23Re2NrmT46v.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера сделайте вручную.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
-
Меняйте пароль к RDP.
Проверяйте ЛС
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Спасибо Вам огромное дорогие эксперты!!!!! Все мелкие файлы расшифровываются без проблем (exel, word, pdf и т.д.). Но базы данных 1С (файлы 1CD) или из-за того что размеры большие, или в силу других причин после расшифровки не открывались в программе, выдавая ошибку. Решилось все просто: я заново добавил к расшифрованому файлу расширение .toste и прогнал еще раз через Ваш дешифратор. Расшифрованый второй раз файл благополучно открылся в 1С.
Еще раз спасибо Вам большое за Ваш труд!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\9335~1\locals~1\temp\sfe23re2nrmt46v.e xe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Ransom.AIG, AVAST4: Win32:Evo-gen [Susp] )
-