Словил вирус и все файлы .xls .wrd .jpg приобрели окончание .id-{HFMYFZFBVMNOARSTFWXOPQHYKBCTFWNEPHYP-22.09.2014 [email]13@17@331005294}[email protected][/email]
Файлы переименовались все. Нужна помощь в расшифровке.
Printable View
Словил вирус и все файлы .xls .wrd .jpg приобрели окончание .id-{HFMYFZFBVMNOARSTFWXOPQHYKBCTFWNEPHYP-22.09.2014 [email]13@17@331005294}[email protected][/email]
Файлы переименовались все. Нужна помощь в расшифровке.
Уважаемый(ая) [B]Findir007[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Ваш сервер был взломан. Меняйте пароли на RDP
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\rar$di00.546\ooo_stroyinvest.scr','');
TerminateProcessByName('c:\program files\rarlab\crypted.exe');
QuarantineFile('c:\program files\rarlab\crypted.exe','');
DeleteFile('c:\program files\rarlab\crypted.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dskchk');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$DI00.546\OOO_STROYINVEST.scr','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Компьютер перезагрузите вручную.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
[QUOTE=thyrex;1162297]Ваш сервер был взломан. Меняйте пароли на RDP
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\rar$di00.546\ooo_stroyinvest.scr','');
TerminateProcessByName('c:\program files\rarlab\crypted.exe');
QuarantineFile('c:\program files\rarlab\crypted.exe','');
DeleteFile('c:\program files\rarlab\crypted.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dskchk');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Rar$DI00.546\OOO_STROYINVEST.scr','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Компьютер перезагрузите вручную.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи[/QUOTE]
Выполнил скрипт в AVZ Как было указано, высылаю Вам файлики и ссылку на заражённые файлы
[URL]https://cloud.mail.ru/public/58b812d092f4%2F%D0%93%D0%9B%D0%9E%D0%9D%D0%90%D0%A1%D0%A1....xls.id-%7BHFMYFZFBVMNOARSTFWXOPQHYKBCTFWNEPHYP-22.09.2014%2013%4017%40331005294%7D-email-madeled%40mail.ru-ver-4.0.0.0.cbf[/URL]
Карантин где?
[QUOTE=thyrex;1163028]Карантин где?[/QUOTE]
Я ни как не могу найти красную надпись в верху темы ПРИСЛАТЬ ЗАПРОШЕННЫЙ КАРАНТИН.Можно ли ссылку на это дело прислать?
Очень помощь Ваша нужна. если файлы не расшифрую, девушка будет увольняться. Аферисты вышли на связь, требуют 1000 долларов.
Красную ссылку над первым сообщением в теме ищите
Увы, с расшифровкой не поможем