Показано с 1 по 20 из 20.

поймали вирус ПОМОГИТЕ ПЛИЗ (заявка № 159959)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14

    поймали вирус ПОМОГИТЕ ПЛИЗ

    добрый день, поймали вирус Avira определил как TR/Crypt.ZPACK.Gen8
    NOD32 показывает WIN32/Kryptik.AMCG

    вирус нашли и удалили, ну кроме ворд и эксель файлов зараженных им, файлы очень нужны, их очень много. помогите пожалуйста вылечить файлы без потери информации.
    все файлы Word и Excell не открываются

    в названия файлов добавилось rcs и в проводнике тип документа стоит "Заставка"

    например:
    оригинальное название
    Типовой Договора на оказание услуг по сервисному обслуживанию техники_Standard.doc
    переименовалось в
    Типовой Договора на оказание услуг по сервисному обслуживанию техники_Standard*cod.scr
    если ставлю курсор перед rcs и нажимаю del то название еще раз меняется наТиповой Договора на оказание услуг по сервисному обслуживанию техники_Standardcod.scr

    тут архив с файлом
    пароль virus
    там же логи
    http://dropmefiles.com/35Cz3
    Вложения Вложения
    Последний раз редактировалось Антон Галичев; 20.05.2014 в 23:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Антон Галичев, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,330
    Вес репутации
    1028
    Логи просьба загрузить на форум.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    не нашел кнопочку вложение или что то подобное, если подскажете как загрузить то сделаю.
    однако дело в том, что логи с моего компьютера, на котором вируса не было.
    ситуация вот какая, файлы заражены на файловом сервере на котором не было антивируса(. по видимому заразил один из компов который работал с этими файлами. сеть корпоративная. упущение админов что не поставили антивирусы абсолютно на все компы в сети. возможно ли вылечить файл который я выложил на файлообменник???
    таких файлов помимо ворда есть еще эксель файлы, их несколько тысяч. помогите их вылечить очень прошу...

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,330
    Вес репутации
    1028
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    на сервере на котором заражены файлы запустил утилиту AVPTOOL . найден Worm.Win32.Dorifel.c во всех файлах ворд и эксель.
    прилагаю логи 111.zip и ссылку на файлообменник с несколькими зараженными файлами

    http://dropmefiles.com/ab6zE
    пароль virus
    Вложения Вложения
    • Тип файла: zip 111.zip (27.1 Кб, 4 просмотров)
    Последний раз редактировалось Антон Галичев; 21.05.2014 в 05:28.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    AVPTOOL лечит эти файлы, т. е. извлекает из них исходные? Если нет - воспользуйтесь DorifelKiller - проверил, работает.

    - - - Добавлено - - -

    Только аккуратно - при закрытии после завершения лечения утилита без вопросов перезагружает систему. Убейте процесс в памяти, либо запускайте в безопасном режиме.

    И учтите - это сетевой червь, мог распространиться по другим компьютерам в локалке.

    - - - Добавлено - - -

    Ещё добавочка - лечит не всё, а исходный .SCR удаляет, сохраните перед запуском всё зашифрованное.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    AVPTOOL лечит вроде, НО многие файлы не может вылечить и удаляет, и многие из тех что вылечил просто не открываются, то есть внутри белиберда.
    попробовал DorifelKiller, спасибо за эту программку. восстановленных файлов намного больше чем через AVPTOOL.

    есть еще одна проблемка на этом же сервере. возможно работает тот же червь.
    чтобы предотвратить распространение червя и чтобы сотрудники не заходили на общие диски где зараженные файлы, мной была отключена служба "SERVER"
    НО заметил, что при включении этой службы в процессах "система" начинает грузить процессор на 40-60%. можете подсказать в чем дело, это активность того же червя?

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    По логам активного червя на сервере не видно, но, возможно он долбится по сети. Проверяйте другие компьютеры.
    Надеюсь, после перезагрузки сервера проблема с загрузкой процессора рассосётся.
    WBR,
    Vadim

  12. #10
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    после лечения файлов и перезагрузки сервера процесс system продолжает грузить проц на 15-30%

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
    WBR,
    Vadim

  14. Это понравилось:


  15. #12
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    Приветствую, большое Вам спасибо за оказываемую помощь!!!
    отсканировав файлопомойку пользователей нашел еще вирус Virus:Win32/Quervar.E
    если ли утилитка как вы мне уже высылали? Cleaner

    образ во вложении

    - - - Добавлено - - -

    снова процесс system 50-60% работает, снова файлы вирусуются.
    Вложения Вложения
    Последний раз редактировалось Антон Галичев; 22.05.2014 в 05:05.

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    Цитата Сообщение от Антон Галичев Посмотреть сообщение
    отсканировав файлопомойку пользователей нашел еще вирус Virus:Win32/Quervar.E
    если ли утилитка как вы мне уже высылали? Cleaner
    Это другое название того же вируса.

    Цитата Сообщение от Антон Галичев Посмотреть сообщение
    снова процесс system 50-60% работает, снова файлы вирусуются.
    Активного червя на сервере нет, видимо, долбится по сети. Отключите временно шары или вообще отключите сервер от сети - будет эффект.
    Ищите заразу на других компьютерах, можно той утилитой, что я давал.

    Смените пароли на учётки с администраторскими правами, у кого они были не по делу - необходимо отобрать права администратора.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к системе, браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  17. #14
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    спасибо большое, щас сделаем

  18. #15
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    здравствуйте, нужна ваша небольшая консультация по выбору антивируса, если можно

    я лет 7 работал только с NOD32. никогда вроде как не было проблем, таких как щас.
    НО. сейчас вот случилась беда и ...

    NOD32 обнаруживает вирус на сервере как WIN32/Quervar.E
    AVPTOOL определил как Worm.Win32.Dorifel.c

    я так понимаю это тот же самый вирус под разными названиями.
    теперь о лечении.
    при запуске NODа антивирус сразу удаляет зараженный файл, а при запуске AVPTOOL 99% вылеченных.

    7 лет работая с NODом, я задумался о касперском, и меня это пугает)

    означает ли это что антивирус касперского просто напросто ЛУЧШЕ, или НОД32 просто не знает как его лечить, или может вы выскажете свое мнение ?
    можете обоснованно помочь с выбором антивируса в корпоративной среде?!

  19. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    По реакции на один конкретный вирус сравнивать антивирусные продукты не очень корректно. И главный вывод, который админ должен сделать из этой ситуации - должен быть бэкап для важных данных и документов. А если бы серьёзный шифровальщик поймали?
    WBR,
    Vadim

  20. #17
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    это все понятно, что должен быть бекап , он есть Но недельной давности, я недавно в этой компании и как раз и занимаюсь устранением недочетов прошлых админов.

    вопрос вот в чем, мы сейчас на один комп записали 1 файл с этим вирусом, и просканили 3 антивирусами в том числе и НОДом, и только AVPTOOL очистил и позволил работать с документом.
    AVPTOOL работает на том же движке что и "Kaspersky Endpoint Security для бизнеса" ??? тоесть, если бы у меня стоял каспер то он бы, на примере данного вируса, вылечил бы его. просто вирус никак не исчезнет, только я почищу хранилище документов как через 1-2 часа снова начинают попадаются зараженные этим вирусом файлы.

    выявляю компьютеры к которых могло быт заражение и чистим их.

    щас стоит НОД32 как я писал, и если в определенной папке появляется зараженный файл, зайдя в эту папку, файл просто исчезает на глазах, так как НОД его удаляет.
    вытаскиваю этот файл из карантина и пробегаю по нему AVPTOOL'ом и файл вылечен.) о чудо)
    вот поэтому и задумался о каспере. будет ли каспер на примере этого вируса лечить файлы а не удалять их сразу как это делает НОД, как минимум НОД.

  21. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,890
    Вес репутации
    843
    Ещё раз, это ситуация касается только одного вируса. В других случаях может быть всё с точностью до наоборот...
    WBR,
    Vadim

  22. #19
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Цитата Сообщение от Антон Галичев Посмотреть сообщение
    зайдя в эту папку, файл просто исчезает на глазах, так как НОД его удаляет.
    Факт удаления файла подтверждаю. От меня лично отправлен запрос в компанию Eset, по данному вопросу. Ответ Eset-а обязательно Вам передам.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  23. Это понравилось:


  24. #20
    Junior Member (OID) Репутация
    Регистрация
    20.05.2014
    Сообщений
    10
    Вес репутации
    14
    Цитата Сообщение от mrak74 Посмотреть сообщение
    Факт удаления файла подтверждаю. От меня лично отправлен запрос в компанию Eset, по данному вопросу. Ответ Eset-а обязательно Вам передам.
    спасибо, буду очень ждать ответа

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 20.07.2012, 12:19
  2. Помогите плиз! вирус - start0.exe и f4448e25.exe
    От rewalov в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 25.07.2011, 18:03
  3. непонятный Вирус, помогите плиз )
    От Vestrum в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 18.11.2010, 21:47
  4. Вирус блокирует все. помогите плиз
    От Andy_Gavril в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 11.12.2009, 18:07
  5. помогите вирус или мистика (ПЛИЗ)
    От nwchades в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 06.01.2009, 15:19

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00759 seconds with 17 queries