Злоумышленники проникли в систему и зашифровали файлы. Необходимую информацию удалось расшифровать, но в системе присутствуют вирусы. Помогите вылечить. Система Windows Server 2003.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Petrovich75, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('\SystemRoot\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
QuarantineFile('c:\window\system32\lsasvc.exe','');
TerminateProcessByName('c:\window\csrss.exe');
QuarantineFile('c:\window\csrss.exe','');
DeleteFile('c:\window\csrss.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('\SystemRoot\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','');
TerminateProcessByName('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe');
QuarantineFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
QuarantineFile('c:\window\system32\lsasvc.exe','');
TerminateProcessByName('c:\window\csrss.exe');
QuarantineFile('c:\window\csrss.exe','');
DeleteFile('c:\window\csrss.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe','32');
DeleteFile('c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
К серверу есть только удаленный доступ через RDP, т. е при выполнении вышеуказанного скрипта, я потеhяю с ним связь и не смогу перегрузить вручную.
Вот эти файлы я удалил руками:
c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\wasppacer.exe
c:\documents and settings\all users\Документы\Моя музыка\sync playlists\88888101\svvhost.exe
c:\intel\web\microsoft\safesurf.exe
Новые логи прилагаю.
"Для этого требуется новейшая версия (не ниже v.1.7.9) нашей утилиты te94decrypt
Запускать её нужно с параметром комстроки -k 389 , т.е. так :
te94decrypt.exe -k 389"