Шифровальщик india.com

[delmon]

Доброе время суток!

Поймал сервер шифровальщика email-handehoch@india.com.ver как не знаю ...можно что то сделать ??

 

И еще постоянно касперский удаляет файл mysqld-nt.exe откуда он берется?? 

CollectionLog-2017.02.02-19.51.zip

[mike 1]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[delmon]

Как то так...

SERVER-CRB_2017-02-02_20-53-47.7z

[mike 1]

Проверьте эти файлы на virustotal

C:\SQL67.EXE
C:\USERS\ODV\DESKTOP\WINBOX.EXE
C:\WINDOWS\AAWKOO.EXE
C:\WINDOWS\SILLYR727_X.SO

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[delmon]

1. https://www.virustotal.com/ru/file/9e7d203f0be7efbb79fcbd67b5f6c862013cd75076737f2af7e96be143efc740/analysis/1486061287/

2. https://www.virustotal.com/ru/file/3cf01bddc0a5e149994384f6b889722393fb7514bf9d2481ebba079c7235124a/analysis/1486061736/ (утилита микротика вроде)

 

3. нет доступа Касперский говорит что вирус но не предлагает лечить

4. https://www.virustotal.com/ru/file/f00a466aaa65316758ed433ef6ee1bcfd393e37ec5f1bfe2d08d5615c31e0363/analysis/1486061901/

Изменено 2 февраля, 2017 пользователем delmon

[delmon]

А дальше что ?? все?? как 3 пункт удалить??

[mike 1]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v385c
  breg
  
  unload %SystemRoot%\AAWKOO.EXE
  zoo %SystemRoot%\AAWKOO.EXE
  bl 09E8EA5CD15CB61FE1C0E1C0370B6A9C 51200
  delall %SystemRoot%\AAWKOO.EXE
  zoo %SystemDrive%\SQL67.EXE
  bl 342C6E4992417483E9733921AEFC6C68 258048
  delall %SystemDrive%\SQL67.EXE
  unload %SystemRoot%\SILLYR727_X.SO
  zoo %SystemRoot%\SILLYR727_X.SO
  bl 6E4A04ADC7BC32BCA9B2D4D0F1A5DC8A 6144
  delall %SystemRoot%\SILLYR727_X.SO
  czoo
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su
• Перезагрузите сервер, сделайте новый лог uVS

[delmon]

Исполнено!

SERVER-CRB_2017-02-04_18-05-15.7z

[mike 1]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v385c
  zoo %SystemRoot%\TERMS.EXE.EXE
  addsgn 1A904F9A55835A8CF42BFB3A884BFE0DACF7007FFC02940D8948B8B4DB9B618DCA102851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 virus13
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT BGRHMQ\NNSSQOG.EXE
  breg
  
  delall %SystemRoot%\SILLYR201_X.SO
  delall D:\MYSQL\DATA\MICROSOFT FILE.EXE
  zoo %SystemDrive%\PROGRAM FILES (X86)\COMMFORT_SERVER\PLUGINS\GL583_1.EEE
  chklst
  delvir
  
  czoo
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su
• Перезагрузите сервер, сделайте новый лог uVS

[delmon]

Исполнено! Базу mysql не затронет??

SERVER-CRB_2017-02-04_22-14-43.7z

[mike 1]

Нет. Теперь порядок, а вот в карантин файлы, которые представляли интерес идти не захотели

[delmon]

mysqld-nt.exe все равно появляется в касперском ((

Изменено 5 февраля, 2017 пользователем delmon

[mike 1]

Детект на файл какой? 

[delmon]

Пишет что на диске C:\sql...

mysqld-nt.7z

[mike 1]

Пишет что на диске C:\sql...

На вопрос вы так и не ответили. Проверка файла https://www.virustotal.com/ru/file/ed2bed719e49a61903b2b971c2ef04c835a08e3c33162f0217328694df597524/analysis/1486392203/из 14 сообщения.