xromx 0 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Добрый день. Столкнулся с неприятной проблемой - на Windows server 2012 обнаружились лишние процессы (в заголовке) располагались в "c:\ProgramData\Microsoft\DRM\". Лечение бесплатными утилитами результата не дало. находили эти файлы и после перезагрузке они возвращались. Так же были созданы пользователи "HomeGroupUser", "WorkGroup" с правами администратора. Процесс "Bpako.exe" грузил процессор и читал файлы с винта очень активно. На данный момент временно "изолировал" как смог папку "DRM" на уровне прав и сейчас эти процессы не "висят" в системе, но попытки записать себя есть. И сейчас постоянно всплывает сообщение в системе о том, что превышен интервал работы сессии и будет завершен через 2 минуты, хотя в групповых политиках таких ограничений не нашел. CollectionLog-2019.04.22-17.29.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Логи сделаны устаревшей версией Autologger. Переделывайте. Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 22 апреля, 2019 Автор Share Опубликовано 22 апреля, 2019 Логи сделаны устаревшей версией Autologger. Переделывайте. Действительно. Прошу прощения. CollectionLog-2019.04.22-18.45.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\DRM\Uyara\lnterrupts.exe',''); QuarantineFile('C:\ProgramData\Microsoft\DRM\Lzabocewi\Bpako.exe',''); DeleteFile('C:\ProgramData\Microsoft\DRM\Lzabocewi\Bpako.exe','64'); DeleteFile('C:\ProgramData\Microsoft\DRM\Uyara\lnterrupts.exe','64'); DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework'); DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 22 апреля, 2019 Автор Share Опубликовано 22 апреля, 2019 Файл сохранён как 190422_183010_quarantine_5cbe083271a16.zip Размер файла 4731415 MD5 31d1765d9061b1eeda0905588d20d50d CollectionLog-2019.04.22-21.34.zip Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 25 апреля, 2019 Автор Share Опубликовано 25 апреля, 2019 Напоминаю о себе. Все еще нужна помощь. Спасибо. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 апреля, 2019 Share Опубликовано 25 апреля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 25 апреля, 2019 Автор Share Опубликовано 25 апреля, 2019 (изменено) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Готово. FRST.zip Изменено 25 апреля, 2019 пользователем xromx Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 апреля, 2019 Share Опубликовано 25 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: C:\ProgramData\Microsoft\DRM\Uyara C:\ProgramData\Microsoft\DRM\Lzabocewi Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 25 апреля, 2019 Автор Share Опубликовано 25 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: C:\ProgramData\Microsoft\DRM\Uyara C:\ProgramData\Microsoft\DRM\Lzabocewi Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Сделано. Fixlog.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 апреля, 2019 Share Опубликовано 25 апреля, 2019 Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 25 апреля, 2019 Автор Share Опубликовано 25 апреля, 2019 Что с проблемой? На данный момент проблемных файлов нет и process monitor так же не видит активности этой заразы. Просто не понятно, что это было и откуда взялось. До первой перезагрузки после скрипта avz они еще были причем со свежей датой создания. Хотел убедиться, что от гадости избавился и меня не ждет участь жертв шифровальщика. Это вообще шифровальщик или что то еще? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 апреля, 2019 Share Опубликовано 25 апреля, 2019 Один из файлов детектируется, как майнер. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
xromx 0 Опубликовано 25 апреля, 2019 Автор Share Опубликовано 25 апреля, 2019 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 25.04.2019 17:01:41 Path starting: C:\Users\Alexsandr1c\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Alexsandr1c VersionXML: 6.30is-24.04.2019 ___________________________________________________________________________ Windows 8.1(6.3.9600) (x64) ServerStandard Lang: Russian(0419) Дата установки ОС: 29.03.2015 17:59:32 Статус лицензии: Windows®, ServerStandard edition Срок истечения многопользовательской активации: 233641 мин. Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [243.8 Гб] Занято: [203.4 Гб] Свободно: [40.4 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17416 Внимание! Скачать обновления Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба остановлена Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба остановлена Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба работает Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB4012213 Внимание! Скачать обновления ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2007 v.12.0.6425.1000 --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает ---------------------- [ AntiVirusFirewallInstall ] ----------------------- ESET NOD32 Antivirus v.4.2.76.1 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ VMware Workstation v.12.0.1 Внимание! Скачать обновления IrfanView (remove only) v.4.35 Microsoft Office Стандартный 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления Microsoft Office Standard 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice TeamViewer 10 (TeamViewer) - Служба работает --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.44954 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------------- [ SPY ] --------------------------------- Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа! --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Opera Stable 58.0.3135.132 v.58.0.3135.132 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ----------------------------- [ EmailClient ] ----------------------------- The Bat! Professional v3.60 v.3.60.0.0 Внимание! Скачать обновления ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.4.2.76.1 egui.exe ESET Service (ekrn) - Служба работает C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe v.4.2.76.1 C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe v.4.2.76.1 ESET HTTP Server (EhttpSrv) - Служба работает C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe v.4.2.76.1 ----------------------------- [ End of Log ] ------------------------------ Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 апреля, 2019 Share Опубликовано 25 апреля, 2019 Выполните рекомендованное, и на этом закончим Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения