Зашифрованные фалы [email protected], server 2003 sp2 x86

Добрый день.

Текстовые документы, файлы базы данных 1с и т.д. зашифрованы.

Расширение файлов изменено на.id-{VZBEILORUXADGJMPSVYBEGKNPSWYBFHKOQTW-20.12.2014 [email]11@42@395852503}[email protected][/email]

windows Server 2003 sp2 x86
Папки C:\Datakrat C:\Datakrat\CARDSERV C:\Datakrat\CardSystem и C:\S-Market содержат программы(r-keeper и smarket) для автоматизации ресторанного бизнеса - они не являются вирусами.

Помогите пожалуйста очистить сервер от заразы и укажите способы восстановления зашифрованных файлов, если это возможно.

ссылка на зашифрованный файл
[url]https://www.dropbox.com/s/okeq0mpr6qh1nwn/%D0%93%D0%BE%D1%81%D1%82%D0%B5%D0%B9%20%5B%D0%A7%D0%B8%D1%81%D0%BB%D0%BE%D0%B3%D0%BE%D1%81%D1%82%D0%B5%D0%B9%5D.txt.id-%7BVZBEILORUXADGJMPSVYBEGKNPSWYBFHKOQTW-20.12.2014%2011%4042%40395852503%7D-email-base1c1c1c%40gmail.com-ver-4.0.0.0.cbf?dl=0[/url]

Уважаемый(ая) [B]Vadim Magerramov[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#24)
[/QUOTE]
Логи сделайте не через терминальную сессию. Пароли от RDP и всех учетных записей меняйте на более стойкие вас тупо сбрутили. Также желательно сменить по умолчанию порт удаленного рабочего стола.

Во вложении новые логи. Пароли и порт сменил.

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

лог uvs во вложении

В общем они уже за собой прибрались.

[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\BUH1.S-MARKET\PROGRAM FILES\RARLAB\D.BAT

#FILE# ping -n 10 localhost>Nul
del /f /q C:\Documents and Settings\Buh1.S-MARKET\Program Files\RarLab\*.exe
del /f /q C:\Documents and Settings\Buh1.S-MARKET\Program Files\RarLab\*.bat
[/QUOTE]

Папку C:\DOCUMENTS AND SETTINGS\BUH1.S-MARKET\PROGRAM FILES\RARLAB удаляйте. С расшифровкой не поможем. У DrWeb есть некоторые успехи расшифровки Cryakl 4 версии, но помочь они смогут не сразу и не всегда.

Спасибо

Кажется на сервере еще остались вирусы. Некоторые программы не запускаются, появляется ошибка "this program has been manipulated and maybe it's infected..." или MS Visual C++ "runtime eror".

Оцените пожалуйста по логам.

Вы у них дешифратор случайно не покупали?

Нет. Восстановил, что смог, из бэкапов.

Ну у вас там файловый вирус на сервере. Лечиться нужно так [url]http://support.kaspersky.ru/8093[/url]. После лечения сделайте новые логи по правилам.

Сканирование выполнил, что не смог вылечить - удалил.

Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Можно сделать логи из терминальной сессии?

Думаю, да.

[url]http://virusinfo.info/virusdetector/report.php?md5=00267A492EE5EF94BF10A08DDC6E6DEA[/url]

Из-за размера пришлось заархивировать.

Из этой [url]http://virusinfo.info/showthread.php?t=172663[/url] темы дешифратор случайно не качали?

Файловый вирус Parite все еще активен. Нужно пролечится с LiveCD диска Kaspersky или DrWeb, а потом повторите рекомендации из 14 сообщения.

Нет, дешифратором не пользовался. Находки Malwarebytes' Anti-Malware удалить?

[QUOTE=Vadim Magerramov;1205679]Находки Malwarebytes' Anti-Malware удалить?[/QUOTE]
Нет.