Файлы зашифрованы с расширением infileshop@gmail.com_ID44 - Форум технической поддержки ESET NOD32

Сообщений: 10

Баллов: 5

Регистрация: 17.06.2016

Размещено 17.06.2016 11:12:36

Добрый день! Выручайте пожалуйста! Мы являемся городской больницей, под вирус попал сервер, все файлы на нем зашифрованы с расширением [email protected]_ID44

Прикрепленные файлы

Снимок2.JPG (3.1 КБ)

Снимок.JPG (97.77 КБ)

SERVER_2016-06-17_12-04-07.7z (590.6 КБ)
зашифрованные файлы.zip (1.23 МБ)

Изменено: Игорь Березка - 17.06.2016 12:28:32

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.06.2016 11:21:33

Игорь Березка,

добавьте несколько чистых копий и соответственно зашифрованных файлов
+
добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 17.06.2016

Размещено 17.06.2016 11:48:10

Цитата
santy написал: Игорь Березка, добавьте несколько чистых копий и соответственно зашифрованных файлов + добавьте образ автозапуска системы

Извините, не понял, чистых копий чего?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.06.2016 12:06:46

чистых (оригинальных) копий тех документов, которые были зашифрованы.
(возможно сохранились архивные копии)

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 17.06.2016

Размещено 17.06.2016 12:24:22

К сожалению чистых файлов нет, прикрепил шифрованые

Изменено: Игорь Березка - 17.06.2016 12:25:50

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.06.2016 12:38:57

mpk сами ставили на сервер?
C:\PROGRAMDATA\MPK\MPK.EXE
+
можно добавить что сервер основательно завирусован,

при этом нет установленного антивируса.

Изменено: santy - 17.06.2016 12:57:35

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 17.06.2016

Размещено 17.06.2016 13:16:49

Нет, я лично не ставил, а что это такое?
дело в том, что сервером занимался другой человек, который уволился, если я не ошибаюсь, там стоял касперский, но вот куда он делся...
Скажите пожалуйста, есть ли какая-то вероятность избавиться от этой гадости?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.06.2016 13:32:37

mpk - это кейоггер промышленный, т.е. по сути шпион, с какой целью он установлен у вас на сервере, непонятно.
чуть позже отвечу по очистке сервера. напишу скрипт.

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 17.06.2016

Размещено 17.06.2016 13:38:35

Да уж, интересно кто мог его установить, а есть вероятность, что установил тот, кто "напакостил" на сервере?
Спасибо большое, жду.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.06.2016 15:08:00

дата установки mpk на сервере 27мая 2016 года.

выполните очистку сервера от троянов. в удобное время, поскольку очистка будет с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx addsgn 9252778A1C6AC1CC0BD4594E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Siggen6.56120 [DrWeb] zoo %SystemDrive%\INTEL\SMSS.EXE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Trojan.MulDrop6.35238 [DrWeb] zoo %SystemDrive%\USERS\ВЕРОНИКА\SYSTEM\WINLOGON.EXE hide %SystemDrive%\PROGRAM FILES (X86)\HAOZIP\HAOZIP.EXE addsgn A7679B23506A4C7261D4C4B12DBDEB5673DD44BACFBA1F90A1203A4363162424107583575AAAAD2DA2A0B74D137E47983DDF8C8D67BE390EA0224897C6062273 8 Trojan.Siggen5.64545 [DrWeb] zoo %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\TEMP\6\HZ$D.990.1900\HZ$D.990.1901\CLEAN.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE addsgn 9AED670255824D720BD46D7218225980852A6B420CEF444A2546227CF38A9D03A2F60447460CEFF4074B7B67E1A3B31747A9F96761E99662B8A09CE9DDE0B2A1 8 Win32/KeyLogger.Refog.F zoo %SystemDrive%\PROGRAMDATA\MPK\MPK.EXE zoo %SystemDrive%\PROGRAMDATA\APPLICATION DATA\MPK\MPK.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\VISTAMED\WINCLIENT\SUPPORT\SAFESURF.EXE delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP145287754.EXE delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP2104565152.EXE ; Java(TM) 6 Update 17 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx

addsgn 9252778A1C6AC1CC0BD4594E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Siggen6.56120 [DrWeb]

zoo %SystemDrive%\INTEL\SMSS.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Trojan.MulDrop6.35238 [DrWeb]

zoo %SystemDrive%\USERS\ВЕРОНИКА\SYSTEM\WINLOGON.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\HAOZIP\HAOZIP.EXE
addsgn A7679B23506A4C7261D4C4B12DBDEB5673DD44BACFBA1F90A1203A4363162424107583575AAAAD2DA2A0B74D137E47983DDF8C8D67BE390EA0224897C6062273 8 Trojan.Siggen5.64545 [DrWeb]

zoo %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\TEMP\6\HZ$D.990.1900\HZ$D.990.1901\CLEAN.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
addsgn 9AED670255824D720BD46D7218225980852A6B420CEF444A2546227CF38A9D03A2F60447460CEFF4074B7B67E1A3B31747A9F96761E99662B8A09CE9DDE0B2A1 8 Win32/KeyLogger.Refog.F

zoo %SystemDrive%\PROGRAMDATA\MPK\MPK.EXE
zoo %SystemDrive%\PROGRAMDATA\APPLICATION DATA\MPK\MPK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\VISTAMED\WINCLIENT\SUPPORT\SAFESURF.EXE

delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP145287754.EXE

delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP2104565152.EXE

; Java(TM) 6 Update 17
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Файлы зашифрованы с расширением [email protected]_ID44