2 ответов в этой теме

[verso]

День добрый, на одном из серверов споймал wasppacer, файлы dbf, xls, doc - зашифрованы.

4й NOD показал и изолировал следуйющие угрозы, после чего cureit уже ничего не нашел:

23.06.2014 13:36:42    Фильтр HTTP    архив    http://fff2.ucoz.ru/    HTML/Iframe.B.Gen вирус    соединение прервано - изолирован    SERVER\sveta    Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Documents and Settings\sveta\My Documents\RedSurf-client\spoolsv.exe.
19.06.2014 6:35:34    Фильтр HTTP    файл    http://ladaprior.ru/wp-content/plugins/wp-polls/polls-js.js?ver=2.63    JS/Kryptik.AH троянская программа    соединение прервано - изолирован    SERVER\sveta    Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Documents and Settings\sveta\My Documents\RedSurf-client\spoolsv.exe.
18.06.2014 6:45:48    Защита в режиме реального времени    файл    C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full\Wasppacer.exe    модифицированный Win32/Wasppacer.A потенциально нежелательная программа    удален - изолирован    SERVER\Buh    Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full.exe.
18.06.2014 6:45:46    Защита в режиме реального времени    файл    C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full\updater.exe    модифицированный Win32/Waspace.D троянская программа    очищен удалением - изолирован    SERVER\Buh    Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full.exe.
18.06.2014 6:45:11    Защита в режиме реального времени    файл    C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full\Wasppacer.exe    модифицированный Win32/Wasppacer.A потенциально нежелательная программа    удален - изолирован    SERVER\Buh    Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full.exe.
18.06.2014 6:45:04    Защита в режиме реального времени    файл    C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full\updater.exe    модифицированный Win32/Waspace.D троянская программа    очищен удалением - изолирован    SERVER\Buh    Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\WaspAce_3.11.4.0_full.exe.
08.04.2014 12:43:56    Защита в режиме реального времени    файл    C:\Documents and Settings\Buh\My Documents\InstallManager.exe    Win32/AdWare.Toolbar.Webalta.FG приложение    очищен удалением - изолирован    SERVER\Buh    Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\Explorer.EXE.

При загрузке RKU  Безымянный.PNG   5,88К   0 Скачано раз

 

 SERVER_Buh_070714_115513.zip   2,54Мб   0 Скачано раз

 RKU.txt   73,99К   0 Скачано раз

 hijack.rar   3,46К   2 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[thyrex]

на одном из серверов споймал wasppacer

Это не сам шифровальщик