Перейти к содержанию

подозрение на mirai


abonchak

Рекомендуемые сообщения

Прогнал скрипт. Выдал, что нужно обновить Microsoft Silverlight и акробат ридер. Включил UAC.

Еще прогнал папку виндовс Microsoft Safety Scanner. В принципе он достаточно хорошо поработал и сделал то, что и вы мне говорили. В логе его увидел(приложу на всякий случай).

Амиадмин это моё.

 

Пока на удивление тихо. Понаблюдаю.

Хм, даже касперский установился.

avz_log.txt

msert.log

Изменено пользователем abonchak
Ссылка на комментарий
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Ссылка на комментарий
Поделиться на другие сайты

 

 


Амиадмин это моё.
а
C:\WINDOWS\SYSWOW64\RSERVER30\RSERVER3.EXE

?


Точней: Radmin Server 3.4, Radmin Viewer 3.5, Remote Administrator v2.2, TeamViewer 13, TeamViewer 8.0.22298 - это все ваши?


 

 


даже касперский установился.
Если у вас стоит касперский, то для чего стоит TNod User & Password Finder? Удалите его тогда. И в логе у вас вообще не заметил никакого антивируса. Он у вас стоит?

И если бы касперский стоял, то он этот вирус должен был видеть и удалить.

 

А также удалите остатки от ESET FILE SECURITY https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.14 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl 06E94BB4A3DB98858AAB1353DC7F39AA 5080576
    zoo %SystemRoot%\SYSTEM\MSINFO.EXE
    delall %SystemRoot%\SYSTEM\MSINFO.EXE
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_C5AB5FF6161C836198EA06.EXE
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_D79F07499C3C9EE4F5ADBD.EXE
    delref MFETDI2K\[SERVICE]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    bl CF0A84238240EB47FAD9E72A0510BEF8 1269
    zoo %SystemRoot%\SYSTEM\MY1.BAT
    delall %SystemRoot%\SYSTEM\MY1.BAT
    delref I:\DRIVERPACKSOLUTION.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

затем свежий лог uVS.

Ссылка на комментарий
Поделиться на другие сайты

Радмин, тимвьювер и т.д. это все моё.

Касперский установился, но после перезагрузки, за выходные он его снова угробил. Антивирус не функционировал вообще никак! Удалил я его в надежде, что ESET установится и чем-то поможет. Но при установке, как и касперский блокируется запуск экзешника антивируса и он  откатывается назад. Поэтому в логах и нет антивируса, его невозможно установить.

Касперский видел некоторые файлы этого вируса и удалял сначала, пока сам не сдулся. Но он не решал проблему в корне. Через минут 20 или час вирус снова восстанавливался.

 

ESET остатки пока не удалял, что-то мне не нравится как эта утилита гробит сетевые подключения.

 

Каким-то образом постоянно восстанавливаются c:\Windows\Temp\v.exe(это касперский не видел изначально!) и c:\Windows\Temp\conhost.exe(изначально этого файла не было, появился позже)

 

Название архива ZOO_2018-08-23_08-37-05 (из формы после отправки, не смог скопировать полное название).

 

лог приложил

 

SERVER_2018-08-23_09-08-26.7z

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.14 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl 2DEC082634F834079988680B21283972 1499648
    zoo %SystemRoot%\TEMP\CONHOST.EXE
    delall %SystemRoot%\TEMP\CONHOST.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Обновления безопасности в системе все стоят? В частности этот апдейт установлен?

 

 


c:\Windows\Temp\v.exe
Заархивируйте в zip архив с паролем virus и закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

Попробуйте снова установить антивирус.

 

Ссылка на комментарий
Поделиться на другие сайты

Обновления безопасности стоят.

 

После перезагрузки CONHOST.EXE восстановился и запустился.

 

Re: [KLAN-8600558726]

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57 - UDS:DangerousObject.Multi.Generic

В антивирусных базах информация по присланным вами файлам отсутствует:
CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57.txt

 

Антивирус не устанавливается. Все файлы вируса остались на местах в своих папках.

Изменено пользователем regist
удалил ссылку на вирус
Ссылка на комментарий
Поделиться на другие сайты

Присланный вами файл детектируется и Nod-ом и Касперским https://www.virustotal.com/ru/file/197639bdcc3d53f7767d9235ff2c7c269f44a7424019154288007ddeb48f8085/analysis/

 

 


Обновления безопасности стоят.
Все? Всё равно скачайте и попробуйте вручную установить заплатку из шапки той темы. Если он стоит, то просто выдаст ошибку, что уже установлен - если не стоит, то будет залатана дыра через которую скорее всего этот вирус заново пролазиет.

 

SMB v.1 хотя бы временно желательно отключить.

 

 


Антивирус не устанавливается.
попробуйте просканировать сначала с помощью https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool

А потом снова поставить антивирус.

Ссылка на комментарий
Поделиться на другие сайты

Заплатку проверил: стояла и стоит. KVRT не справляется, в принципе видит, удаляет, но после перезагрузки первым делом откуда-то вылазит конхост, затем остальное(в данном случае майнер). Антивирус все так же не дает поставить.

 

 

SMB v.1 хотя бы временно желательно отключить.

чем грозит отключение и для чего это нужно?

Ссылка на комментарий
Поделиться на другие сайты

 

 

для чего это нужно?

для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру.

 

Хорошо. А как это сделать? Полистал интернет, сложно написано. В реестре таких записей не нашел(где нужно отключать).

Ссылка на комментарий
Поделиться на другие сайты

1) На всякий случай скачайте свежий KVRT и ещё раз проверьте.

2) Скачайте свежую версию uVS и сделайте свежий лог.


3)

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Подробную инструкцию читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Я тут устанавил Malwarebytes. Выяснилось что Конхост из папки темп ломится в интернет через Winlogon.exe. Malwarebytes это дело блокирует и после перезагрузки появляется только Конхост. Выяснить бы откуда он еще появляется.

Ссылка на комментарий
Поделиться на другие сайты

@abonchak, выполняйте, что написано выше.


 

 


Я тут устанавил Malwarebytes.
лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?

И установленный касперский возможно полностью пролечил бы систему.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...