Здравствуйте! На днях поймали троян, зашифровавший приличное количество файлов на компьютерах в нашей сети. Ситуация такова, что конечные компьютеры пользователей мы легко заменяем на новые (это планировалось сделать 1-го апреля, выполним немного раньше), но вот наш основной сервер мы заменить не сможем. Я долго рылась на Вашем форуме, на подобном форуме Касперского, но так и не смогла разобраться, где непосредственно эта зараза может сидеть (хочется убедиться в её отсутствии).
С утра антивирус Nod32 сообщил о найденных троянах в папке C:\TEMP и удалил их (это произошло автоматически на двух локальных машинах, где было запущено злополучное письмо из почты якобы с платежкой). Далее я сканировала уже другими антивирусами, проверили все компьютеры сети, подозрительных и зараженных файлов найдено уже не было. Только на нашем сервере и тех двух компьютерах есть много файлов с расширением .better_call_saul. Также отмечу, что заражена только та часть файлов, которая расположена на локальных и сетевых дисках тех компьютеров.
Прошу уважаемых экспертов помочь с очисткой сервера от заразы. Логи, согласно инструкции, приложены.
Спасибо!
PS: файлы с расширением .better_call_saul удаляются очень плохо или не реагируют на удаление совсем. Нет ли какого способа от них избавиться, чтобы заменить их нормальными файлами из бекапов?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Darth_QWE, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Доброго времени суток! Прошу прощения, я быстро не смогла найти, как выполнить скрипт из консоли. Сделала в свежей версии с обновленными базами так же, как и вчера (согласно инструкции оформления постов).
Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003", дата инсталляции 27.05.2009 11:55:32 ; AVZ работает с правами администратора (+),AVZ запущен из терминальной сессии (RDP-Tcp#1)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.