Перейти к содержанию

подозрение на mirai


Рекомендуемые сообщения

@abonchak, выполняйте, что написано выше.

 

 

Я тут устанавил Malwarebytes.

лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?

И установленный касперский возможно полностью пролечил бы систему.

Да не могу я антивирус поставить, не запускается он. У меня лицензия каспера, а толку то. Малвар еще заблокировал попытку подключения sqlserver к непонятному адресу. Может через него вся эта зараза восстанавливается?!

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 49
  • Created
  • Последний ответ

Top Posters In This Topic

  • abonchak

    26

  • regist

    17

  • Sandor

    7

Top Posters In This Topic

Popular Posts

Вы обращались сюда https://my.kaspersky.com/ ? Удаление вирусов насколько знаю входит в их обязанности.   ------------------------------------------- по логам чуть позже дам ответ. У меня есть под

Posted Images

 

 


не могу я антивирус поставить, не запускается он.
подробней, что пишет можно узнать?

 

 


У меня лицензия каспера
почему бы тогда не обратиться в тех. поддержку?

 

И до сих пор жду запрошенное в предыдщем посте (на предыдущей странице).

Ссылка на сообщение
Поделиться на другие сайты

Логи

Еще от Malwarebytes то, что в интернет ломилось(на всякий случай).


 


не могу я антивирус поставить, не запускается он.
подробней, что пишет можно узнать?

 

 


У меня лицензия каспера
почему бы тогда не обратиться в тех. поддержку?

 

И до сих пор жду запрошенное в предыдщем посте (на предыдущей странице).

 

Скрин ошибки.

Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса. Вот такой вот он, платный касперский.

SERVER_2018-09-04_09-02-02.7z

GMER_LOG.log

Malwarebytes.txt

Malwarebytes_2.txt

post-50699-0-06661900-1536025412_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

 

 


Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса.
Вы обращались сюда https://my.kaspersky.com/ ? Удаление вирусов насколько знаю входит в их обязанности.

 

-------------------------------------------

по логам чуть позже дам ответ.


У меня есть подозрение, что там буткит.

Проверьтесь с помощью https://support.kaspersky.ru/viruses/krd18, Просьба заскриньте или как-то сохраните, что он там найдёт и прикрепите потом.

И у вас ещё остатки от Eset видно, надо их удалить https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/


 

 


Вы обращались сюда https://my.kaspersky.com/ ?
точней у вас лицензия наверно на корпоративный продутк, так что надо сюда https://companyaccount.kaspersky.com/
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

 

Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса.

Вы обращались сюда https://my.kaspersky.com/ ? Удаление вирусов насколько знаю входит в их обязанности.

 

-------------------------------------------

по логам чуть позже дам ответ.

У меня есть подозрение, что там буткит.

Проверьтесь с помощью https://support.kaspersky.ru/viruses/krd18, Просьба заскриньте или как-то сохраните, что он там найдёт и прикрепите потом.

И у вас ещё остатки от Eset видно, надо их удалить https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

companyaccount.kaspersky.com сюда обращался

с загрузочного диска не знаю пока, когда проверю(машина в работе, надо время выбирать)

Eset критично удалять? Потому что не хочется заного сеть настраивать.

Ссылка на сообщение
Поделиться на другие сайты

 

 


Eset критично удалять? Потому что не хочется заного сеть настраивать.
так на данный момент судя по лонам он у вас и не стоит, только хвосты от него в реестре. Так что надо дочистить эти хвосты.
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

 

 


Прикрепленные изображения
значит был прав, у вас был буткит Trojan.Boot.DarkGalaxy.a.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Уязвимостей не обнаружено.

 

Но, вирусняк снова пытается проникнуть(антивирус пока справляется). Отчет каспера. Можно ли как-нибудь SQL вылечить?

отчет каспера.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверьте эти файлы на virustotal

C:\Windows\system\cabs.exe
C:\Windows\Temp\v.exe
 

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

каспер же их убивает. Не найду я их.

Не зря значит Malwarebytes ругался на SQL. Видимо через него как-то лезит.

Изменено пользователем abonchak
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

И утилиту скачайте заново, за это время она обновилась.

Ссылка на сообщение
Поделиться на другие сайты

1) Удалите остатки от ESET FILE SECURITY

2)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILITES\REGCLEANER\WISEREGISTRYCLEANER.EXE
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    zoo %Sys32%\DRIVERS\KYRYVNHG.SYS
    delall %Sys32%\DRIVERS\KYRYVNHG.SYS
    zoo %SystemRoot%\SYSTEM\MY1.BAT
    delall %SystemRoot%\SYSTEM\MY1.BAT
    apply
    
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

×
×
  • Создать...