Вирус-шифровальщик (DA_VINCHI) заразил server 2000

[Sandor]

Создайте другую учетную запись и попробуйте собрать новый CollectionLog из нее.

[aleks-oren]

До этого все делал под учетною записью администратора домена.

Зараженный сервер не является контролером домена.

Сейчас сделал лог под учетною записью администратора этого компьютера.

Нужно ли создать нового пользователя или этого лога будет достаточно? 

CollectionLog-2016.11.01-14.54.zip

[Sandor]

Нужно ли создать нового пользователя

Да, пожалуйста, создайте с правами администратора и повторите логи.

[aleks-oren]

Создал нового пользователя с правами администратора.

CollectionLog-2016.11.02-08.48.zip

[Sandor]

Пожалуйста, под этой же учетной записью повторите лог GMER (инструкция в сообщении №2) и лог Check Browsers' LNK by Dragokas & regist тоже повторите.

[aleks-oren]

Выполнил! Загружаю логи!

log.log

Check_Browsers_LNK.log

[Sandor]

Сделайте резервную копию реестра с помощью Erunt.

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service dtwex
gmer.exe -del service fzoops
gmer.exe -del service leyry
gmer.exe -del service mfcdznwd
gmer.exe -del service zerhutc
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

Все операции делайте во вновь созданной учетной записи.

[aleks-oren]

Отправляю логи!

лог2.log

[Sandor]

Теперь, пожалуйста, соберите свежий CollectionLog с помощью Autologger.

[aleks-oren]

Прикрепляю лог!

CollectionLog-2016.11.02-16.15.zip

[Sandor]

Общие ресурсы

D:\archive

D:\Program Files\Microsoft SQL Server\MSSQL\Data

D:\DRWEB\D\DRWEB\DRWEB_BASE

D:\mail-ipk

D:\Электронный архив ВАР

C:\база_данных

с паролем?

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[aleks-oren]

Общие ресурсы без пароля.

Прикрепляю отчет.

TERMINAL_2016-11-02_17-21-57.TXT

[Sandor]

И, пожалуйста, еще один лог:

Сделайте и прикрепите лог сканирования MBAM.

[aleks-oren]

Не удалось установить программу.

Вышла ошибка:

Runtime Error (at 110:137):

Could not call proc.

[Sandor]

Пробуйте эту версию.