Файлы зашифрованы с расширением infileshop@gmail.com_ID44

Добрый день! Выручайте пожалуйста! Мы являемся городской больницей, под  вирус попал сервер, все файлы на нем зашифрованы с расширением infileshop@gmail.com_ID44
Снимок.JPG (97.77 КБ)
Изменено: Игорь Березка - 17.06.2016 12:28:32
Игорь Березка,

добавьте несколько чистых копий и соответственно зашифрованных файлов
+
добавьте образ автозапуска системы
Цитата
santy написал:
Игорь Березка,

добавьте несколько чистых копий и соответственно зашифрованных файлов
+
добавьте образ автозапуска системы
Извините, не понял, чистых копий чего?
чистых (оригинальных) копий тех документов, которые были зашифрованы.
(возможно сохранились архивные копии)
К сожалению чистых файлов нет, прикрепил шифрованые
Изменено: Игорь Березка - 17.06.2016 12:25:50
mpk сами ставили на сервер?
C:\PROGRAMDATA\MPK\MPK.EXE
+
можно добавить что сервер основательно завирусован,

при этом нет установленного антивируса.
Изменено: santy - 17.06.2016 12:57:35
Нет, я лично не ставил, а что это такое?
дело в том, что сервером занимался другой человек, который уволился, если я не ошибаюсь, там стоял касперский, но вот куда он делся...
Скажите пожалуйста, есть ли какая-то вероятность избавиться от этой гадости?
mpk - это кейоггер промышленный, т.е. по сути шпион, с какой целью он установлен у вас на сервере, непонятно.
чуть позже отвечу по очистке сервера. напишу скрипт.
Да уж, интересно кто мог его установить, а есть вероятность, что установил тот, кто "напакостил" на сервере?
Спасибо большое, жду.
дата установки mpk на сервере 27мая 2016 года.

выполните очистку сервера от троянов. в удобное время, поскольку очистка будет с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx

addsgn 9252778A1C6AC1CC0BD4594E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Siggen6.56120 [DrWeb]

zoo %SystemDrive%\INTEL\SMSS.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Trojan.MulDrop6.35238 [DrWeb]

zoo %SystemDrive%\USERS\ВЕРОНИКА\SYSTEM\WINLOGON.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\HAOZIP\HAOZIP.EXE
addsgn A7679B23506A4C7261D4C4B12DBDEB5673DD44BACFBA1F90A1203A4363162424107583575AAAAD2DA2A0B74D137E47983DDF8C8D67BE390EA0224897C6062273 8 Trojan.Siggen5.64545 [DrWeb]

zoo %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\TEMP\6\HZ$D.990.1900\HZ$D.990.1901\CLEAN.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
addsgn 9AED670255824D720BD46D7218225980852A6B420CEF444A2546227CF38A9D03A2F60447460CEFF4074B7B67E1A3B31747A9F96761E99662B8A09CE9DDE0B2A1 8 Win32/KeyLogger.Refog.F

zoo %SystemDrive%\PROGRAMDATA\MPK\MPK.EXE
zoo %SystemDrive%\PROGRAMDATA\APPLICATION DATA\MPK\MPK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\VISTAMED\WINCLIENT\SUPPORT\SAFESURF.EXE

delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP145287754.EXE

delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\4\TEMP2104565152.EXE

; Java(TM) 6 Update 17
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Читают тему (гостей: 5)