Зашифровались файлы [not-a-virus:NetTool.Win32.Wasppace.l ]

**uzer123** · 10-13-2014, 02:29 PM

Здравствуйте. Сегодня утром обнаружил, что все файлы на сервере зашифрованы.
Ситуация схожа с этой http://virusinfo.info/showthread.php?t=166787
По логам понял что подключились по RDP, удалили касперского и дальше понеслось...

Оригинальный и зашифрованный файлы тут: http://rghost.ru/58498387
Во вложении архив папки с вирусом и логи AVZ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10-13-2014, 02:30 PM

Уважаемый(ая) uzer123, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 10-13-2014, 04:28 PM

Внимание

Удалите вирус из вложений

Выполните скрипт в AVZ:

Code:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe');
ExecuteSysClean;
end.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**uzer123** · 10-13-2014, 07:10 PM

Originally Posted by Vvvyg

Внимание

Удалите вирус из вложений

Выполните скрипт в AVZ:

Code:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe');
ExecuteSysClean;
end.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

скрипт выполнил.
полный образ автозапуска во вложении.

**Vvvyg** · 10-13-2014, 09:17 PM

Выполните скрипт в uVS:

Code:

;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
zoo %SystemDrive%\INTEL\LOGS\S.BAT
del %SystemDrive%\INTEL\LOGS\S.BAT
zoo %SystemDrive%\INTEL\LOGS\UPDATER.EXE
del %SystemDrive%\INTEL\LOGS\UPDATER.EXE
zoo %SystemDrive%\INTEL\LOGS\WASPPACER.EXE
del %SystemDrive%\INTEL\LOGS\WASPPACER.EXE
zoo %SystemDrive%\INTEL\LOGS\WINLOGON.EXE
del %SystemDrive%\INTEL\LOGS\WINLOGON.EXE
deldir %SystemDrive%\INTEL\LOGS
delref %SystemRoot%\APPPATCH\EXPLORER.EXE
czoo

Перезагрузите сервер вручную.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS

**uzer123** · 10-15-2014, 08:02 PM

Сорри что так долго

**Vvvyg** · 10-15-2014, 10:33 PM

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Code:

;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
delref %SystemRoot%\APPPATCH\EXPLORER.EXE
delref %SystemDrive%\INTEL\LOGS\WINLOGON.EXE

Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".

Перезагрузите сервер вручную и сделайте новый полный образ автозапуска uVS.

С расшифровкой, скорее всего, глухо. Если теневые копии на сервере делались, пробуйте исходные файлы найти в "Предыдущих версих" по сети в расшаренных папках, программы восстановления стёртых файлов, возможно, позволят выцепить предыдущие версии файлов.

**mike 1** · 10-16-2014, 01:01 AM

Думаю с расшифровкой смогут помочь в DrWeb. Мы с расшифровкой помочь я думаю не сможем.

**CyberHelper** · 10-16-2014, 01:11 AM

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Wasppacer.2 )

Зашифровались файлы [not-a-virus:NetTool.Win32.Wasppace.l ] (заявка № 168483)

Thread Tools