zotev 0 Опубликовано 8 марта Share Опубликовано 8 марта Вирус меняет DNS, пробовал удалить KVRT и Dr.web cureit не помогает в планировщике задач висят эти процессы. CollectionLog-2024.03.08-09.34.zip Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта Добавьте дополнительно образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Ссылка на сообщение Поделиться на другие сайты
zotev 0 Опубликовано 8 марта Автор Share Опубликовано 8 марта Выполнил GIPERION_2024-03-08_11-47-41_v4.15.1.7z Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и перезагрузит ее. Скрипт ниже: ; uVS v4.15.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %Sys32%\WBEM\123.BAT delall %SystemRoot%\DEBUG\ITEM.DAT delall %SystemRoot%\SYSWOW64\LSM.EXE delall %SystemRoot%\DEBUG\OK.DAT delref S.DAT delref HTTP://GOOGLE.RU delref WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER] delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER zoo %SystemRoot%\TEMP\CONHOZ.EXE addsgn 9252777A116AC1CC0BE4554EA34F0A54238A237191FF48939453552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Agent.VJV 7 zoo %SystemRoot%\SYSTEM\MSINFO.EXE addsgn A1046BAC446AC77A82988B4D023756212001B3F70A15E4B96F1CCA39E4CC714CA5DE5C359A17E53D8EE920AEA71AEC93D944AA3EF0B314D45D4B0146634750EF 8 Win32/Packed.VMProtect.BB 7 chklst delvir apply deltmp delref %SystemRoot%\SYSWOW64\FTUSBSRVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE delref %SystemRoot%\INF\ASPNET\LSMA22.EXE delref %SystemDrive%\PROGRAM FILES\LOARIS TROJAN REMOVER\LTR.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE ;------------------------------------------------------------- regt 26 regt 25 czoo restart После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера. Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС. Добавьте новый образ автозапуска для контроля очистки. 3 часа назад, zotev сказал: пробовал удалить KVRT и Dr.web cureit не помогает Добавьте для анализа логи сканирования данных утилит. Ссылка на сообщение Поделиться на другие сайты
zotev 0 Опубликовано 8 марта Автор Share Опубликовано 8 марта 2024-03-08_12-56-19_log.txt Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят GIPERION_2024-03-08_13-03-17.rar Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта по файлам: conhoz.exe https://www.virustotal.com/gui/file/c97ba3cb9164ee93304c7b6d6be86c075aab12a21cfbbe0f853f0d47fb2127f2/details DrWeb Undetected Kaspersky Undetected msinfo.exe: https://www.virustotal.com/gui/file/b63ce450e4d34d1cdd727a1a246d38167f45aeacc69d15c6922ef723e49a3cf7/detection DrWeb Undetected Kaspersky Undetected 25 минут назад, zotev сказал: 2024-03-08_12-56-19_log.txt 39 kB · 0 downloads Очистка выполнена, необходим новый образ автозапуска для контроля очистки 25 минут назад, zotev сказал: Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят Не увидел в новом образе следов майнера и данных задач. В одной из версий Mykimgs дополнительно заражалась загрузочная запись, и просто удаление задач в tasks и wmi + исполняемые не помогало, после загрузки системы все восстанавливалось, сейчас я не увидел восстановления, но для контроля сделайте,пожалуйста еще логи FRST Цитата Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Ссылка на сообщение Поделиться на другие сайты
zotev 0 Опубликовано 8 марта Автор Share Опубликовано 8 марта Логи FRST Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта (изменено) Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС 2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe -------- судя по логам FRST некоторый мусор остался, вредоносных активных файлов нет. Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт автоматически очистит систему без перезагрузки и завершит работу Start:: Task: {2D862116-2D62-40F2-8844-7DD8F6083DA4} - \ok -> Нет файла <==== ВНИМАНИЕ Task: {44D1269E-7693-4907-84B8-3203F637175B} - \Mysa1 -> Нет файла <==== ВНИМАНИЕ Task: {455D485C-2559-4014-8AB7-ADC216B23B13} - \MyTask -> Нет файла <==== ВНИМАНИЕ Task: {6F9191FA-9F2F-4F40-9C5C-92BB170604A1} - \oka -> Нет файла <==== ВНИМАНИЕ Task: {DCE56C46-D7D9-4957-B14B-DC8AE3AA2051} - \Trojan Remover -> Нет файла <==== ВНИМАНИЕ Task: {FF524A9E-BE02-46F3-9F5B-36681B29775C} - \Mysa2 -> Нет файла <==== ВНИМАНИЕ FirewallRules: [{CAA2009A-CAED-4548-8726-0BD2DD9F2763}] => (Block) LPort=445 FirewallRules: [{FFD61110-9842-434D-92E6-8CDA13F7A6C2}] => (Block) LPort=139 End:: Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение. Изменено 8 марта пользователем safety Ссылка на сообщение Поделиться на другие сайты
zotev 0 Опубликовано 8 марта Автор Share Опубликовано 8 марта Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта (изменено) Очистку мы провели, но атаки могут возобновиться, как правило злоумышленники пытаются из внешней сети получить доступ к базе MS SQL, если она видна из внешней сети, получить контроль, добавить свои скрипты в базу, и затем уже развернуть майнер в системе. В завершении: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 27 minutes ago, safety said: Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС 2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe C:\Windows\SysWOW64\csrs.exe - infected with Trojan.Siggen17.18615 https://www.virustotal.com/gui/file/722259d07de4dd9be88e8836fda5ba96844966ba109ac0fd3c8f8a162e5ba6cc/detection Изменено 8 марта пользователем safety Ссылка на сообщение Поделиться на другие сайты
zotev 0 Опубликовано 8 марта Автор Share Опубликовано 8 марта Не поддерживается Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта 1 hour ago, zotev said: Не поддерживается Тогда есть повод обновить систему, по возможности уйти с уязвимой 2008 R2 Server. :). сегодня майнер поставили, завтра могут шифровальщик загрузить. Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 8 марта Share Опубликовано 8 марта Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения