-
Junior Member (OID)
- Вес репутации
- 40
Прошу помощи в дешифровки
Здравствуйте, система на Windows 2003 Server.
повреждено всё, ярлыки на оснастку ОС, файлы, базы 1С...
Все файлы стали с расширением .CODED.
На файлообменнике архив с образцами файлов + Письмо злоумышленника.
http://hdd.tomsk.ru/desk/sqqgyswg
Прошу, помогите с лечением, CureIT и Nod32, работающий на постоянке, ничего не увидели, в автозагрузке было пару exe неизвестного происхождения в Temp папках, может один из них вирус.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Дмитрий Золотарев, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member (OID)
- Вес репутации
- 40
В логах nod32
файл C:\DOCUME~1\P9338~1\LOCALS~1\Temp\6a2h41I137x4av8. exe модифицированный Win32/Filecoder.Q троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\6a2h41I137x4av8 .exe.
файл C:\Documents and Settings\Администратор\WINDOWS\InstallDir\skill.ex e Win32/Remtasu.Y троянская программа очищен удалением - изолирован SERVER-2007\Администратоp
В корне диска С обнаружил файл uuencoder.exe, но создан он в 2012 году
- - - Добавлено - - -
Товарисчи, откликнитесь кто-нибудь пожалуйста, дело срочное , тело вируса есть, попробовал на тестовой машине xorisdecriptor.exe (Kaspersky) и te94decrypt.exe (Dr.Web). Первый просто не находит объектов (хотя ему подкидываю по запросу сразу шифрованный файл), второй сначала попросил pass, потом, после нажатия на кнопку "продолжить", создал около 200 копий файлов c расширением .CODED, но с разными ключами от k2 до k400. Несколько переименовал (убрал .CODED), распаковал - архивы повреждены. Я так понимаю пароль в теле вируса? Помогите, очень прошу.
Последний раз редактировалось Дмитрий Золотарев; 18.08.2013 в 05:55.
Причина: новая информация
-
Junior Member (OID)
- Вес репутации
- 40
Код расшифровки, скорее всего привязан, к ip адресу (внешнему) сервера. Тело вируса есть, код расшифровки получил, сдав экзамен по безопасности сервера у злоумышленника, в принципе, как бы дико это не звучало, спасибо ему за урок. За кодом и телом вируса обращайтесь в ЛС - вышлю.
-
Все и так отправлено в вирлаб с оффорума Лаборатории Касперского
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-