darkcomet rat [РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость

[KZMZ]

uVS так же не запускается из Safe mode ошибка не выходит и окна не запускается через админ запускал и так и так.

 

FRST про сканил

Addition.txt FRST.txt

[safety]

Хорошо, гляну сейчас. Возможно, версия uVS 4.99 не подходит, уточню.

[KZMZ]

32 битная ос этот сервер 2008

[safety]

Скрипт не выполняли в FRST из безопасного режима, тот, что выше был выше?

Если выполняли, то нужен Fixlog.txt для проверки, как отработал скрипт.

 

Осталась нежелательная политика

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
и руткитная запись

HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба

NETSVC: Ms30FD5E80App -> отсутствует путь к файлу.
---------------

По факту надо пролечить систему из под WinPE

[safety]

На этой странице есть ISO образы Winpe&uVS  c uVS 4.0 и 4.15, пробуйте начать со второго.

Как записать образ ISO на флэшку.

Как создать образ автозапуска из под Winpe&uVS

 

Изменено 31 октября пользователем safety

[KZMZ]

Скрипт не выполняли в FRST из безопасного режима, тот, что выше был выше?   нет на обычном режиме выполнял на безопасном только сегодня про сканил только 

Если выполняли, то нужен Fixlog.txt для проверки, как отработал скрипт.

[safety]

1 час назад, KZMZ сказал:

нет на обычном режиме выполнял на безопасном только сегодня про сканил только

Надо было вначале  выполнить скрипт из безопасного режима (+предоставить Fixlog.txt), потом только собрать новые логи,

чтобы проверить сможет FRST выполнить очистку руткитных записей или нет. Если не сможет, тогда переходим к варианту очистки через загрузочный диск.

[KZMZ]

вот сделал в безопасном очистку и потом скан

Учетку папку SQL удалил я сам

 

 

FRST.txt Addition.txt Fixlog.txt

[safety]

по новому логу FRST:

Все хорошо, автозапуск в основном зачистили, за исключением руткитной записи

HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ

U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба

 

так что переходим к варианту с очисткой через Winpe, все ссылке выше я вам отправил в сообщении.

+

эти файлы заархивируйте с паролем virus для проверки.

загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Цитата

2024-10-14 00:03 - 2020-07-28 14:39 - 000002380 _____ C:\Windows\VPSTOOL.bat
2024-10-14 00:03 - 2020-07-28 12:52 - 000238080 _____ (Microsoft Corp.) C:\Windows\windowsupdate.exe
2024-10-14 00:03 - 2019-02-01 21:58 - 000301773 _____ C:\Windows\back.exe

 

[safety]

16 часов назад, safety сказал:

2024-10-14 00:03 - 2020-07-28 14:39 - 000002380 _____ C:\Windows\VPSTOOL.bat
2024-10-14 00:03 - 2020-07-28 12:52 - 000238080 _____ (Microsoft Corp.) C:\Windows\windowsupdate.exe
2024-10-14 00:03 - 2019-02-01 21:58 - 000301773 _____ C:\Windows\back.exe

https://www.virustotal.com/gui/file/e02983386ab9a22beb5f053103505f9e779abdf583baa2eb25cde42f94083329

238080 - этот файл был в автозпуске, только с другим именем

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

bat файл - установщик бэкдора

Цитата

title VPS Tools V1.0 By
ECHO OFF
START %windir%\windowsupdate.exe

эти три файла так же удаляем

так же проверьте содержимое этой папки

2024-10-14 00:04 - 2024-10-14 00:04 - 000000000 ____D C:\Windows\back

 

Изменено 1 ноября пользователем safety

[KZMZ]

вот такое сохранил на winpe 

111.txt

3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

 

на winpe тоже его нажимать или выбрать диск С:

 

NOR5-ATYRAU_2024-11-01_08-29-04_v4.15.1.7z

[safety]

образ получился, доступ к вредоносной dllполучен

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL

Trojan.Win32.Agentb.kkyd

https://www.virustotal.com/gui/file/937e0068356e42654c9ab76cc34cf74dfa4c17b29e9439ebaa15d587757b14b0

 

В безопасном режиме она также стартовала через службу

сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

HKLM\uvs_system\ControlSet001\Services\Ms30FD5E80App\Parameters\ServiceDLL

-------

скрипт очистки сейчас добавлю.

Изменено 1 ноября пользователем safety

[safety]

Есть возможность скачать скрипт из под Wipne в виде файла, тогда загрузите файл из вложения и сохраните его на диск.

Далее,

В главном меню uVS выбираем:

Скрипты - выполнить скрипт из файла.

В диалоге выбрать файл скрипта, который сохранили на диск.

 

Если нет такой возможности, тогда можете просто из uVS в списке найти и удалить данный файл

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL со всеми ссылками на него.

 

По контекстному меню есть команда: удалить все ссылки вместе с файлом.

scr01.txt

Изменено 1 ноября пользователем safety

[safety]

Еще один вариант решения.

Предварительно данный файл скрипта сохраните на диск C вашего сервера.

ЗАтем загружаетесь еще раз с Winpe&uVS, выбираем систему с проблемного диска.

Главное меню-Скрипты-Выполнить скрипт из файла. И в диалоге выберите сохраненный файл скрипта.

+

еще один скрипт из вложенного файла выполните  через uVS

(для зачистки оставшейся политики)

Цитата

Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b}

 

После выполнения скрипта перегрузиться в нормальный режим и сделать новые логи FRST для контроля очистки.

scr02.txt

Изменено 1 ноября пользователем safety

[KZMZ]

скрипт не запускается ошибку выдает 

потом в списке ювс 

Если нет такой возможности, тогда можете просто из uVS в списке найти и удалить данный файл

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL со всеми ссылками на него.

 

этого файла не нашел