Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Нужна помощь в лечении. Bpako.exe, lnterrupts.exe

Bpako.exe lnterrupts.exe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 16

#1 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 22 Апрель 2019 - 18:29

Добрый день. Столкнулся с неприятной проблемой - на Windows server 2012 обнаружились лишние процессы (в заголовке) располагались в "c:\ProgramData\Microsoft\DRM\". Лечение бесплатными утилитами результата не дало. находили эти файлы и после перезагрузке они возвращались. Так же были созданы пользователи "HomeGroupUser", "WorkGroup" с правами администратора. Процесс "Bpako.exe" грузил процессор и читал файлы с винта очень активно. На данный момент временно "изолировал" как смог папку "DRM" на уровне прав и сейчас эти процессы не "висят" в системе, но попытки записать себя есть.  И сейчас постоянно всплывает сообщение в системе о том, что превышен интервал работы сессии и будет завершен через 2 минуты, хотя в групповых политиках таких ограничений не нашел.

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 22 Апрель 2019 - 18:32

Логи сделаны устаревшей версией Autologger. Переделывайте.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 22 Апрель 2019 - 18:47

Логи сделаны устаревшей версией Autologger. Переделывайте.

Действительно. Прошу прощения. 

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 22 Апрель 2019 - 19:28

Выполните скрипт в AVZ из папки Autologger
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Uyara\lnterrupts.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Lzabocewi\Bpako.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Lzabocewi\Bpako.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Uyara\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 22 Апрель 2019 - 21:36

Файл сохранён как 190422_183010_quarantine_5cbe083271a16.zip Размер файла 4731415 MD5 31d1765d9061b1eeda0905588d20d50d

Прикрепленные файлы


  • 0

#6 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 11:23

Напоминаю о себе. Все еще нужна помощь. Спасибо. 


  • 0

#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 25 Апрель 2019 - 13:05

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#8 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 13:17

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

 

Готово.

Прикрепленные файлы

  • Прикрепленный файл  FRST.zip   26,16К   скачиваний 1

Сообщение отредактировал xromx: 25 Апрель 2019 - 13:17

  • 0

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 25 Апрель 2019 - 14:29

1. Выделите следующий код:
Start::
CreateRestorePoint:
C:\ProgramData\Microsoft\DRM\Uyara
C:\ProgramData\Microsoft\DRM\Lzabocewi
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 15:07

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\ProgramData\Microsoft\DRM\Uyara
C:\ProgramData\Microsoft\DRM\Lzabocewi
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Сделано.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.zip   625байт   скачиваний 1

  • 0

#11 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 25 Апрель 2019 - 16:17

Что с проблемой?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#12 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 16:37

Что с проблемой?

На данный момент проблемных файлов нет и process monitor так же не видит активности этой заразы. Просто не понятно, что это было и откуда взялось. До первой перезагрузки после скрипта avz они еще были причем со свежей датой создания. Хотел убедиться, что от гадости избавился и меня не ждет участь жертв шифровальщика. Это вообще  шифровальщик или что то еще?


  • 0

#13 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 25 Апрель 2019 - 16:55

Один из файлов детектируется, как майнер.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#14 OFF   xromx

xromx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 17:08

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 25.04.2019 17:01:41
Path starting: C:\Users\Alexsandr1c\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Alexsandr1c
VersionXML: 6.30is-24.04.2019
___________________________________________________________________________
 
Windows 8.1(6.3.9600) (x64) ServerStandard Lang: Russian(0419)
Дата установки ОС: 29.03.2015 17:59:32
Статус лицензии: Windows®, ServerStandard edition Срок истечения многопользовательской активации: 233641 мин.
Режим загрузки: Normal
Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)
Системный диск: C: ФС: [NTFS] Емкость: [243.8 Гб] Занято: [203.4 Гб] Свободно: [40.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17416 Внимание! Скачать обновления
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба работает
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012213 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6425.1000
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET NOD32 Antivirus v.4.2.76.1 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
VMware Workstation v.12.0.1 Внимание! Скачать обновления
IrfanView (remove only) v.4.35
Microsoft Office Стандартный 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 10 (TeamViewer) - Служба работает
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44954 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 58.0.3135.132 v.58.0.3135.132 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional v3.60 v.3.60.0.0 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.4.2.76.1
egui.exe
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe v.4.2.76.1
C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe v.4.2.76.1
ESET HTTP Server (EhttpSrv) - Служба работает
C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe v.4.2.76.1
----------------------------- [ End of Log ] ------------------------------

  • 0

#15 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 25 Апрель 2019 - 17:56

Выполните рекомендованное, и на этом закончим
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных