Перейти к содержанию

trojan.multi.wmi run.a


m0nster

Рекомендуемые сообщения

 

тогда просьба выполнить.

 

Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microso...sql-server-2017)

По инструкции не совсем понял как делать. Там было более 10 задач, на запуск exe файлов. Все удалил, теперь все ок. Спасибо за помощь.

Очень плохо, что вы все удалили. Необходимо было прислать на анализ хотя бы исполняемые файлы, указанный на выполнение в задачах. Есть вероятность повторного заражения так как, вероятно, ещё неизвестен зловред, который выполняет это заражение.

Ссылка на комментарий
Поделиться на другие сайты

@noname, полностью согласен с вашим постом, но увы, согласно правилам раздела вы не имеете право отвечать и помогать в темах других пользователей.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

m0nster, смените на всякий случай пароли в SQL. И у тех пользователей которым не нужны административные права уберите их.

Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL...

Ссылка на комментарий
Поделиться на другие сайты

Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL...

Все возможно, по возможности необходимо обновлять версии продуктов.

 

Также не упустите то, что в событиях фиксируются апаратные проблемы с диском.

Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1
В завершение, если проблема не вернется выполните следующее:

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy

 

+

 

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
tdsskiller.exe -silent -qmbr -qboot -qsus
  • Запустите файл fix.bat;
  • Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  • Запакуйте эту папку в архив с паролем "virus";
  • Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения
 
Ссылка на комментарий
Поделиться на другие сайты

Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy[/size]

 

+

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
tdsskiller.exe -silent -qmbr -qboot -qsus
  • Запустите файл fix.bat;
  • Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  • Запакуйте эту папку в архив с паролем "virus";
  • Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения
Вот лог, папка не создалась:

19:25:55.0705 0x1040  TDSS rootkit removing tool 3.1.0.17 Apr 20 2018 12:12:17

19:25:55.0705 0x1040  EULA was not accepted, exiting. For auto accept you could use -accepteula command line parameter.

19:25:55.0705 0x0564  Deinitialize success

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

Уязвимостей не найдено.
Ссылка на комментарий
Поделиться на другие сайты

 

 


Есть подозрения на Trojan.Boot.DarkGalaxy
Юра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

Есть подозрения на Trojan.Boot.DarkGalaxy

Юра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет.

 

Мной отправлен запрос на доработку утилиты. Запрос приняли. Так что не знаю что там тебе Юра писал. 

 

 

 

Вот лог, папка не создалась:

Попробуйте сохранить утилиту и бат файл в корень диска С. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

 

Есть подозрения на Trojan.Boot.DarkGalaxy

Юра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет.

 

 

TDSSKiller будет обновлен, только не так оперативно.

  • Спасибо (+1) 3
Ссылка на комментарий
Поделиться на другие сайты

m0nster,

 

Могли бы пожалуйста мне отправить логи (ссылку на логи) MS SQL в ЛС (личным сообщением), хотелось бы их проанализировать и понять, может будет какая-то информация о задачах: когда они появились, как и т.п.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...