bitpandacom на терминальном сервере

**evoname** · 18.09.2018, 05:55

Здравствуйте.
Поймали шифровальщика. Помогите прибить заразу пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.09.2018, 06:02

Уважаемый(ая) evoname, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 18.09.2018, 22:12

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}\hostdl.exe', '');
 QuarantineFile('C:\ProgramData\njnmdfmi\kfcnhdfh.ego', '');
 QuarantineFileF('c:\programdata\{18e991-418520-7783-84b4bd22d66b}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\njnmdfmi', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}\hostdl.exe', '');
 DeleteFile('C:\ProgramData\njnmdfmi\kfcnhdfh.ego', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Windows Update" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinInetDriver" /F', 0, 15000, true);
 DeleteFileMask('c:\programdata\{18e991-418520-7783-84b4bd22d66b}', '*', true);
 DeleteFileMask('c:\programdata\njnmdfmi', '*', true);
 DeleteDirectory('c:\programdata\{18e991-418520-7783-84b4bd22d66b}');
 DeleteDirectory('c:\programdata\njnmdfmi');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

**evoname** · 19.09.2018, 06:31

Доброго утра!
Карантин загружен. Лог приложен.

**Vvvyg** · 19.09.2018, 07:01

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**evoname** · 19.09.2018, 07:22

Пожалуйста.

**Vvvyg** · 19.09.2018, 18:57

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Folder: C:\ProgramData\{18e991-418520-7783-84b4bd22d66b}
Folder: C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**evoname** · 20.09.2018, 05:57

Здравствуйте!
Пожалуйста...

**Vvvyg** · 20.09.2018, 06:56

Примените такой fixlist.txt:

Код:

C:\ProgramData\{f04233-6fb399-e617-1dcf6190c1a9}

Прикрепите Fixlog.txt - и всё на этом, дочистим шифровальщик.

**evoname** · 20.09.2018, 07:00

Готово!

**Vvvyg** · 20.09.2018, 07:07

Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению. В нём будут ссылки на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

**evoname** · 20.09.2018, 07:17

Лога нет. Скрипт выдал "Часто используемые уязвимости не обнаружены".

**Vvvyg** · 20.09.2018, 19:24

Тогда - всё на этом.

**CyberHelper** · 20.09.2018, 19:34

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 0
В ходе лечения вредоносные программы в карантинах не обнаружены

bitpandacom на терминальном сервере (заявка № 220293)

Опции темы