Поймал бяку на сервер: - все файлы в архиве под паролем и куча readme.txt

Добрый день. Поймал гадость на сервер, аналогично теме [url]http://virusinfo.info/showthread.php?t=162440[/url].
Сообщение в текстовом файле:
Уважаемый пользователь, Ваш компьютер заблокирован за просмотр порнографии, а все ваши персональные файлы зашифрованы в RAR архив, для получения доступа к вашему ПК, а главное к
вашим файлам, вам следует в течение 48 часов пополнить номер МТС 9167662014 на 3000 рублей из
терминала. После пополнения Мы Вам вышлем пароль для разблокировки ПК и открытия Архива.
При попытке переустановить операционную систему – ваши файлы будут удалены безвозвратно. Любые
другие глупости повлекут к удалению ваших файлов, а восстановление невозможно. После
пополнения счета отправьте письмо на почту [email][email protected][/email] с временем пополнения. Код
разблокировки придет в ответном сообщение. Если в течение 48 часов оплата не поступит, мы удаляем
операционную систему со всеми файлами.


Есть rar-архив YOURFILES.rar, содержащий файлы, оригинальные весить стали по 0 кб
Пароль из вышеуказанной темы не подошёл.
Одно НО: логи делал из под другого пользователя (похоже заражен только профиль Администратор), т.к. под Администратором комп работал не корректно. Это Win2003 Server. Нового пользователя сделать пришлось чтобы люди могли работать.

[ATTACH]487237[/ATTACH][ATTACH]487238[/ATTACH]

Простите если дублировал тему - подвис браузер.

Уважаемый(ая) [B]Config13[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Поймал гадость на сервер[/QUOTE]

Здравствуйте! Нужно вложение которое запускалось.

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','');
QuarantineFile('C:\893200.dll','');
DeleteFile('C:\Program Files (x86)\Iefg\Nefghijkl.pic','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

[/CODE]

Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Добрый день. Прислать карантин пишет "этот файл уже был загружен". После выполнения скрипта создается quarantin.zip не запароленный и пустой.

И правильно ли я понимаю - данными средствами получиться только убить зловреда, но не узнать пароль к архиву??

[ATTACH]487354[/ATTACH][ATTACH]487355[/ATTACH][ATTACH]487356[/ATTACH]

[QUOTE]данными средствами получиться только убить зловреда, но не узнать пароль к архиву??[/QUOTE]
Если сможете найти само вложение, которое запускалось тогда может что нибудь и получиться узнать.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные ключи в реестре: 1
HKLM\SYSTEM\CurrentControlSet\Services\Defghi Klmnopqr Tuv (Backdoor.Farfli) -> Действие не было предпринято.

Объекты реестра обнаружены: 1
HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip|DLLPath (Hijack.Iprouter) -> Плохо: (C:\893200.dll) Хорошо: (%SystemRoot%\System32\iprtrmgr.dll) -> Действие не было предпринято.
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Я всё сделаю немного позже - никто не даст перегружать сервак в течении раб.дня. А про самое больное - какое вложение вы имеете в виду??? Это отдельно стоящая машина, на которой никто не работает и в идеале ничто кроме 1С sql-server 2000 и программы автоматической загрузки заявок (тоже 1С), ну и ftp-сервер иногда. Что мне искать, подскажите пожалуйста, хоть примерно.

[QUOTE]А про самое больное - какое вложение вы имеете в виду?[/QUOTE]
Что-то наверное запускалось перед появлением проблемы. Если сами ничего не запускали, то вероятно зашли удаленно и запустили. + Попробуйте код %F5df*$#@FE0s2rdsf@F861@FD

Спасибо огромное за помощь, бяка вроде как ушла, но вот файлики тю-тю. Спасибо за помощь с паролем, но вот архивчик с нужными файлами весит теперь 93 кило - толку его разархивливать нету. Ещё раз спасибо огромное всем за участие. Тему можно закрывать.

Ключ подошел?

Нет, тот который несколькими постами выше не подошёл