Зашифрованные файлы ([email protected])

[COLOR=#333333]Здравствуйте. Нужна как можно быстрее ваша помощь. На диске сервера появились вот такие текстовые файлики [/COLOR][COLOR=#333333](Здравствуйте! [/COLOR][COLOR=#333333]ваши жесткие диски зашифрованы если хотите расшифровать файлы пишите нам на эмайл[/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333] мы ответим в течении трех часов ПРИ обращении укажите ВАШ ID Ваш ID 545343109999 ) . Не могу открыть екселовские вордовские документы.[/COLOR]
[COLOR=#333333]Логи прикрепил.[/COLOR]
[COLOR=#333333]Очень буду благодарен за помощь.[/COLOR]

Уважаемый(ая) [B]Денис2014[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Desktop Lock Express сами устанавливали себе? Какое расширение добавилось к зашифрованным файлам?


[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Все как вы сказали, сделал.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Desktop Lock Express до меня здесь было.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

У меня здесь 2-сегодня рабочий день.

[QUOTE]Desktop Lock Express до меня здесь было.[/QUOTE]
Судя по логу программа эта появилась в момент шифрования файлов т.е. 2 сентября.

[QUOTE]Какое расширение добавилось к зашифрованным файлам?[/QUOTE]

+ Пароли от RDP и учетных записей меняйте ваш сервер сбрутили.

зашифрованные файлы *.xls и *.doc стоит.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а вообще-то там Officd 2007 установлен

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

а файлы можем расшифровывать?

[QUOTE]зашифрованные файлы *.xls и *.doc стоит.[/QUOTE]
Т.е. расширение у зашифрованных файлов не менялось?

[QUOTE]а файлы можем расшифровывать?[/QUOTE]
Сможете найти тело шифратора будут некоторые шансы, а так думаю их нет. Хотя если автор этого шифратора не дурак он сам шифратор удалил программой шредером.

Программу Desktop Lock Express удаляем?

при открытии файла пишет, что не удается открыть файл, так как формат или расширение этого файла являются недопустимыми. Убедитесь, что файл не поврежден и расширение его имени соответствует его формату.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

1) по-моему расширение зашифрованных файлов изменился, потому что на сервере установлен MS Office 2007.
2) как найти тело шифратора?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

кажется я нашел тело шифратора. DGFNBN~1.exe
что дальше делать помогите пожалуйста

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[URL="https://www.youtube.com/watch?v=CUDve6rrQXk"]https://www.youtube.com/watch?v=CUDve6rrQXk[/URL] с помощью этого ролика нашел DGFNBN~1.exe

[QUOTE]кажется я нашел тело шифратора. DGFNBN~1.exe[/QUOTE]
Нет это не тело шифратора.

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE
breg

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
addsgn 925277CA176AC1CC0B14534E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Tool.DesktopLock.5 [DrWeb]
bl E8D11537236C3439C2C8DDA29DFC9A48 100864
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\РАБОЧИЙ СТОЛ\ЯРЛЫК ДЛЯ DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.LNK
del %SystemDrive%\DOCUMENTS AND SETTINGS\GLBUH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ЯРЛЫК ДЛЯ DGFNBNVFGRYTY5565YTIYIYKJLKYHRFGDGFHTGU5YR.LNK
chklst
delvir
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]


Пробуйте восстановить этот файл.

[QUOTE]
Полное имя C:\DOCUMENTS AND SETTINGS\123\ИЗБРАННОЕ\ВЕБ-УЗЛЫ МАЙКРОСОФТ\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Ссылки на объект
Ссылка HKLM\hoaqrucfk\Software\Microsoft\Windows\CurrentVersion\Run\urlspace
urlspace C:\Documents and Settings\123\Избранное\Веб-узлы Майкрософт\svchost.exe -h
[/QUOTE]

Спасибо за поддержку ребята.
Перезагрузку я наверно сделаю ближе в конце работы.
У меня вопрос как восстановить svchost.exe? Варианты скажите пожалуйста.
Я могу "убить" DGFNBN~1.exe через диспетчер задач?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ребята скажите, а файлы восстановить никак?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ребята прислал запрошенный карантин помогите

[QUOTE]У меня вопрос как восстановить svchost.exe? Варианты скажите пожалуйста.[/QUOTE]
Используйте программы восстановления данных типа R-Studio, Recuva.

[QUOTE]Я могу "убить" DGFNBN~1.exe через диспетчер задач?[/QUOTE]
Можете.

[QUOTE]Ребята скажите, а файлы восстановить никак?[/QUOTE]
Без тела шифратора шансов нет никаких.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]