Перейти к содержанию

trojan.multi.wmi run.a


Рекомендуемые сообщения

  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

  • m0nster

    25

  • SQ

    23

  • regist

    5

  • mike 1

    2

Top Posters In This Topic

Popular Posts

TDSSKiller будет обновлен, только не так оперативно.

+ @m0nster, свежий лог uVS сделайте.

@noname, полностью согласен с вашим постом, но увы, согласно правилам раздела вы не имеете право отвечать и помогать в темах других пользователей.

Posted Images

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    C:\USERS\PUBLIC\MUSIC\POWERED.EXE
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


 

Сообщите, пожалуйста проблема проявляется?

Ссылка на сообщение
Поделиться на другие сайты

Давайте попробуем в безопасном режиме.
Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref WMI_.[FUCKYOUMM_FILTER]
delref WMI_.[FUCKYOUMM2_FILTER]
restart

Отсоедините кабель от сети, после перегрузке проверьте если проблема проявляется, только после этого верните сеть.


 

Ссылка на сообщение
Поделиться на другие сайты

странное поведение. в каталоге uVS должен быть лог выполнения, могли бы его приложить.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)


P.S. Сами только ничего не удаляйте.

Ссылка на сообщение
Поделиться на другие сайты

руткитов нет, в каталоге uVS должны быть файлы логов с расширением .Log приложите пожалуйста последний по дате и времени.

Ссылка на сообщение
Поделиться на другие сайты

руткитов нет, в каталоге uVS должны быть файлы логов с расширением .Log приложите пожалуйста последний по дате и времени.

2018-10-30_21-38-28_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017)

По каким-то причинам uVS не может удалить

 

Удаление ссылок...
Не удалось удалить значение: \\.\root\subscription:ActiveScriptEventConsumer.Name="fuckyoumm_consumer"
Не удалось удалить значение: \\.\root\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer"

Есть предположение, что что-то в задачах MS SQL не дает удалить, а при попытки удалить восстанавливает.


 

Ссылка на сообщение
Поделиться на другие сайты

P.S. карантин отправлен [KLAN-9022050065], [KLAN-9022111609] ожидайте ответа по ним.

 

Пришел ответ по карантину:

 

start.vbs_ - Trojan.VBS.Runner.ff
start.bat_ - Trojan.BAT.Runner.ck
CC3E7203_winn.bat_ - Trojan-Downloader.BAT.Agent.wa
88C38FE5_p_        - Trojan-Downloader.BAT.Agent.wa
9548764A_ps_       - Trojan-Downloader.BAT.Agent.wa
65703A4B_pss.temp_ - Trojan-Downloader.BAT.Agent.wa
A6E1FE50_win.bat_  - Trojan-Downloader.BAT.Agent.wa
8E2B3560_winn.dat_ - Trojan-Downloader.BAT.Agent.wa
F1235E02_pps.temp_ - Trojan-Downloader.BAT.Agent.wa
0D5E9D91_max.exe_  - not-a-virus:Downloader.Win32.Agent.ksaf

Остальные файлы повреждены и не представляют угрозы.

Ссылка на сообщение
Поделиться на другие сайты

Вирус сидит в SQL. Остановил службы связанные с SQL, перегрузил и все стало ОК.

Изменено пользователем m0nster
Ссылка на сообщение
Поделиться на другие сайты

тогда просьба выполнить.

 


Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microso...sql-server-2017)
Ссылка на сообщение
Поделиться на другие сайты

 

тогда просьба выполнить.

 

Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microso...sql-server-2017)

 

По инструкции не совсем понял как делать. Там было более 10 задач, на запуск exe файлов. Все удалил, теперь все ок. Спасибо за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...