Printable View
Добрый день!
Утром на сервере были зашифрованы файлы, к именам всех зашифрованных файлов было добавлено [email][email protected][/email]_8Z2Ap3m.
Во вложениях:
files.zip - образец файла до и после шифрования.
klwwaqlbet.zip - файлы созданные вирусом по пути c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn
(пароль на архив - virusinfo)
Очень надеемся на вашу помощь.
С уважением, Игнат
Уважаемый(ая) [B]Ignat.Tikhonov[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe');
QuarantineFile('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe','');
DeleteFile('c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Компьютер перезагрузите вручную.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Добрый день!
Выполнил скрипт, в карантине пусто. Могу сам сделать архив с файлом вируса (virus.zip с паролем virus)
Отчет скрипта:
[QUOTE]Запуск приложения net.exe stop tcpip /y
Приложение принудительно завершено через 15000 мс
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Ignat\WINDOWS\system32\smss.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0A8340)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808A8340
KiST = 80834D70 (296)
Проверено функций: 296, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F3A7C16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F3A7BFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Анализ для процессора 2
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[06] = [F3A7C16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[2].IDT[0E] = [F3A7BFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
CmpCallCallBacks = 00000000
Проверка IDT и SYSENTER завершена
>>>> Обнаружена маскировка процесса 2472 ?
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
Файл успешно помещен в карантин (c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe)
Ошибка [2, QUARANTINEFILE]
Удаление файла: c:\documents and settings\administrator\application data\klwwaqlbet\aledwjflvfrlekwjn.exe
Автоматическая чистка следов удаленных в ходе лечения программ[/QUOTE]
Новые логи во вложении.
Папку c:\documents and settings\administrator\application data\klwwaqlbet удалите
Без оригинального дешифратора не обойтись
Про папку понятно, держу ее в изолированном месте. =)
Завтра попробуем проплатить, о результатах отпишусь.