Злоумышленники проникли в систему и зашифровали файлы. Необходимую информацию удалось расшифровать, но в системе присутствуют вирусы. Помогите вылечить. Система Windows Server 2003.
Printable View
Злоумышленники проникли в систему и зашифровали файлы. Необходимую информацию удалось расшифровать, но в системе присутствуют вирусы. Помогите вылечить. Система Windows Server 2003.
Уважаемый(ая) [B]Petrovich75[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('\SystemRoot\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
QuarantineFile('c:\window\system32\lsasvc.exe','');
TerminateProcessByName('c:\window\csrss.exe');
QuarantineFile('c:\window\csrss.exe','');
DeleteFile('c:\window\csrss.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end. [/code]Компьютер перезагрузите вручную
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Для дешифровки попробуйте [url]http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe[/url] запустить так
[QUOTE]te94decrypt.exe -k 389[/QUOTE]
[QUOTE=thyrex;1055217]Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('\SystemRoot\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
QuarantineFile('c:\window\system32\lsasvc.exe','');
TerminateProcessByName('c:\window\csrss.exe');
QuarantineFile('c:\window\csrss.exe','');
DeleteFile('c:\window\csrss.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end. [/code]Компьютер перезагрузите вручную
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Для дешифровки попробуйте [url]http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe[/url] запустить так[/QUOTE]
К серверу есть только удаленный доступ через RDP, т. е при выполнении вышеуказанного скрипта, я потеhяю с ним связь и не смогу перегрузить вручную.
Вот эти файлы я удалил руками:
c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe
c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe
c:\intel\web\microsoft\safesurf.exe
Новые логи прилагаю.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Лог MBAM.
Порядок
Дешифратором пока никто не поделился
[QUOTE=thyrex;1056584]Порядок
Дешифратором пока никто не поделился[/QUOTE]
Я расшифровал с помощью утилиты te94decrypt.
"Для этого требуется новейшая версия (не ниже v.1.7.9) нашей утилиты te94decrypt
Запускать её нужно с параметром комстроки -k 389 , т.е. так :
te94decrypt.exe -k 389"
[quote="Petrovich75;1056718"]Я расшифровал с помощью утилиты te94decrypt.[/quote]
Именно ее, да еще и с таким же ключом, я советовал в сообщении №3 :)