Вирус зашифровал все файлы [Trojan.Win32.Zapchast.accr ]

[sed896]

Не знаю правильно или нет, что продолжаю в этой теме, т.к. опять появились непонятные процессы которые были в прошлый раз, грузят систему и съедают память ПК. На пк ничего нового не устанавливалось. Антивирусник ничего не находит, помогите с данным вопросом. Логи прилагаю. Место в управлении вложениями закончилось выложил лог через яндекс диск https://yadi.sk/i/fN6u3KtMkii9x https://yadi.sk/d/P3jdFBKVkii9n

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[sed896]

Все сделал лог вот: https://yadi.sk/i/-frP7AHIkjrBr https://yadi.sk/d/FjCrDBW3kjrC3

[mike 1]

Плохой из Вас администратор. Вас снова сбрутили либо используют учетные данные какой-то учетки для входа на сервер.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.86.5 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.2
   v385c
   breg
   
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\DEL.BAT
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\SVCHOST.EXE
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\DEL.BAT
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\SVCHOST.EXE
   dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\WA
   deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\DRM\WA
   delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
   delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
   delall %SystemRoot%\EHOME\DELETE.BAT
   zoo %SystemRoot%\EHOME\E_NO_WWW.EXE
   zoo %SystemRoot%\EHOME\SERVICE.EXE
   zoo %SystemRoot%\EHOME\SOUND.EXE
   zoo %SystemRoot%\EHOME\WMISRV.EXE
   zoo %SystemRoot%\EHOME\WMISRV.SFX.EXE
   zoo %SystemRoot%\EHOME\WWW\SVCHOST.EXE
   delall %SystemRoot%\EHOME\WWW\SVCHOST.EXE
   deldir %SystemRoot%\EHOME\WWW\GECKO
   zoo %SystemRoot%\SYSTEM\SE.EXE
   delall %SystemRoot%\SYSTEM\SE.EXE
   czoo

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог uVs.

[sed896]

Все скрипты выполнил, карантин выслал, лог утилитой UVS https://yadi.sk/d/66M0e6VsksVv4 Пароль админа домена сменил, доступ к серверу закрыл всем кроме админа AD, или пароли вообще у всех пользователей AD менять???

[mike 1]

От всех учеток лучше сменить пароли.

Выполните скрипт в uVS:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
adddir %SystemRoot%\EHOME
crimg

После выполнения скрипта в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

[sed896]

Скрипт выполнил вот лог https://yadi.sk/d/kPkCZ-qWkxYKv

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
breg

delall %SystemRoot%\EHOME\SOUND.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\F\JET.EXE
delall %SystemRoot%\EHOME\WMISRV.EXE
delall %SystemRoot%\EHOME\WMISRV.SFX.EXE
delall %SystemRoot%\EHOME\MI.EXE
delall %SystemRoot%\EHOME\SE.EXE
delall %SystemRoot%\EHOME\SERVICE.EXE
deldir %SystemRoot%\EHOME\MYAC\%DRIVE_C%\WINDOW5\SYSTEM32\F
deldir %SystemRoot%\EHOME\WWW
delall %SystemRoot%\EHOME\E_NO_WWW.EXE

Перезагрузите компьютер. Сделайте новый лог uVS.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 51
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\ehome\svchost.exe - not-a-virus:RiskTool.Win32.AlwaysUp
  2. \sound.exe._8fb5887e10b844634a31352d4cbc7d48bc6d9c 7b - Trojan.Win32.Zapchast.accr ( BitDefender: Gen:Variant.Kazy.573, AVAST4: Win32:Trojan-gen )