Добрый день!
На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.
Добрый день!
На терминальном сервере зашифровались файлы. Тела вируса нет. Логи сделаны локально. Server 2003 x64 R2. В прикрепленных файлах: логи диагностики AVZ и Hijackthis, в архиве files зашифрованый файл и оригинал.
Уважаемый(ая) [B]Олег Резник[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '');
QuarantineFileF('C:\Documents and Settings\terminal_\Program Files (x86)\1', '*', true, '', 0, 0, '', '', '');
DeleteFile('C:\Documents and Settings\terminal_\Program Files (x86)\1\1cb.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'progrmma');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузите сервер.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[B]Обновите базы AVZ[/B] ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Смените пароли на учётки с администраторскими правами и с правами работы в терминальном режиме, у кого они были не по делу - отобрать права администратора. Запускался шифровальщик под пользователем [B]terminal_[/B] - с ним в первую очередь разберитесь.
Доступ по RDP к серверу только из локальной сети, или из интернета?
Доступ по RDP к серверу из локальной сети и из интернета. Файл с карантином отправил по ссылке "Прислать запрошенный карантин".
Удалите папку [I]C:\Documents and Settings\terminal_\Program Files (x86)\1[/I].
С расшифровкой не поможем.
Восстанавливайте из бэкапов, пробуйте найти в расшаренных папках на вкладке "Предыдущие версии".
Рекомендации по безопасности:
Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\terminal_\program files (x86)\1\1cb.exe - [B]Trojan-Ransom.Win32.Cryakl.ar[/B] ( DrWEB: Trojan.Encoder.567, BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )[/LIST][/LIST]