Перейти к содержанию

[РЕШЕНО] Mysa1 и Mysa2


Рекомендуемые сообщения

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


;

uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\WBEM\123.BAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\SYSWOW64\LSM.EXE
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref HTTP://GOOGLE.RU
delref WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER
zoo %SystemRoot%\TEMP\CONHOZ.EXE
addsgn 9252777A116AC1CC0BE4554EA34F0A54238A237191FF48939453552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Agent.VJV 7

zoo %SystemRoot%\SYSTEM\MSINFO.EXE
addsgn A1046BAC446AC77A82988B4D023756212001B3F70A15E4B96F1CCA39E4CC714CA5DE5C359A17E53D8EE920AEA71AEC93D944AA3EF0B314D45D4B0146634750EF 8 Win32/Packed.VMProtect.BB 7

chklst
delvir

apply

deltmp
delref %SystemRoot%\SYSWOW64\FTUSBSRVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemRoot%\INF\ASPNET\LSMA22.EXE
delref %SystemDrive%\PROGRAM FILES\LOARIS TROJAN REMOVER\LTR.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

regt 26
regt 25
czoo
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

Добавьте новый образ автозапуска для контроля очистки.

 

3 часа назад, zotev сказал:

пробовал удалить KVRT и Dr.web cureit не помогает

Добавьте для анализа логи сканирования данных утилит.

Ссылка на комментарий
Поделиться на другие сайты

2024-03-08_12-56-19_log.txt

Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят

GIPERION_2024-03-08_13-03-17.rar

Ссылка на комментарий
Поделиться на другие сайты

по файлам:

conhoz.exe

https://www.virustotal.com/gui/file/c97ba3cb9164ee93304c7b6d6be86c075aab12a21cfbbe0f853f0d47fb2127f2/details

DrWeb Undetected

Kaspersky Undetected

msinfo.exe:

https://www.virustotal.com/gui/file/b63ce450e4d34d1cdd727a1a246d38167f45aeacc69d15c6922ef723e49a3cf7/detection

DrWeb Undetected

Kaspersky Undetected

 

 

25 минут назад, zotev сказал:

Очистка выполнена, необходим новый образ автозапуска для контроля очистки

 

25 минут назад, zotev сказал:

Образ автозапуска. Пока не понятно помогло или нет он через какое то время менял ДНС. Буду наблюдать, но в планировщике задач задачи Mysa1 и 2 висят

Не увидел в новом образе следов майнера и данных задач. В одной из версий Mykimgs дополнительно заражалась загрузочная запись, и просто удаление задач в tasks и wmi + исполняемые не помогало, после загрузки системы все восстанавливалось, сейчас я не увидел восстановления, но для контроля сделайте,пожалуйста еще логи FRST

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на комментарий
Поделиться на другие сайты

Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС

2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe

--------

судя по логам FRST некоторый мусор остался, вредоносных активных файлов нет.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу

 

Start::
Task: {2D862116-2D62-40F2-8844-7DD8F6083DA4} - \ok -> Нет файла <==== ВНИМАНИЕ
Task: {44D1269E-7693-4907-84B8-3203F637175B} - \Mysa1 -> Нет файла <==== ВНИМАНИЕ
Task: {455D485C-2559-4014-8AB7-ADC216B23B13} - \MyTask -> Нет файла <==== ВНИМАНИЕ
Task: {6F9191FA-9F2F-4F40-9C5C-92BB170604A1} - \oka -> Нет файла <==== ВНИМАНИЕ
Task: {DCE56C46-D7D9-4957-B14B-DC8AE3AA2051} - \Trojan Remover -> Нет файла <==== ВНИМАНИЕ
Task: {FF524A9E-BE02-46F3-9F5B-36681B29775C} - \Mysa2 -> Нет файла <==== ВНИМАНИЕ
FirewallRules: [{CAA2009A-CAED-4548-8726-0BD2DD9F2763}] => (Block) LPort=445
FirewallRules: [{FFD61110-9842-434D-92E6-8CDA13F7A6C2}] => (Block) LPort=139
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Очистку мы провели, но атаки могут возобновиться, как правило злоумышленники пытаются из внешней сети получить доступ к базе MS SQL, если она видна из внешней сети, получить контроль, добавить свои скрипты в базу, и затем уже развернуть майнер в системе.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
27 minutes ago, safety said:

Этот файл добавьте в архив с паролем virus, загрузите на облачый диск и дайте ссылку на скачивание в ЛС

2024-03-07 23:36 - 2024-03-07 23:37 - 006466100 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe

C:\Windows\SysWOW64\csrs.exe - infected with Trojan.Siggen17.18615

https://www.virustotal.com/gui/file/722259d07de4dd9be88e8836fda5ba96844966ba109ac0fd3c8f8a162e5ba6cc/detection

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, zotev said:

Не поддерживается :(

Тогда есть повод обновить систему, по возможности уйти с уязвимой 2008 R2 Server. :). сегодня майнер поставили, завтра могут шифровальщик загрузить.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
×
×
  • Создать...