AndreyL. 0 Опубликовано 29 ноября, 2018 Share Опубликовано 29 ноября, 2018 Всем привет! Помогите побороть троян. 1. Систему проверял KVRT и Доктором Вебом Касперский нашел вирус удалил и больше ничего не нашел, после Проверки Вебом находит trojan.muldrop8, и не может его удалить. 2. На компьютере стоит KES, он отключился и на дынный момент работает не корректно. 3. Систему прогнал AutoLogger-ом лог прикрепил CollectionLog-2018.11.29-16.53.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 29 ноября, 2018 Share Опубликовано 29 ноября, 2018 (изменено) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Изменено 29 ноября, 2018 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyL. 0 Опубликовано 29 ноября, 2018 Автор Share Опубликовано 29 ноября, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 29 ноября, 2018 Share Опубликовано 29 ноября, 2018 Включите восстановление системы на сервере. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: 2018-11-29 17:29 - 2018-11-29 22:05 - 000007173 _____ C:\Windows\64.exe 2018-11-29 16:35 - 2018-11-29 22:05 - 000008190 _____ C:\Windows\service.exe 2018-11-29 16:35 - 2018-11-29 22:04 - 000007173 _____ C:\Windows\c64.exe 2018-10-16 11:40 - 2018-10-16 11:40 - 000000000 __RSD C:\Windows\qeriuwjhrf Folder: C:\Windows\iis zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyL. 0 Опубликовано 30 ноября, 2018 Автор Share Опубликовано 30 ноября, 2018 Включите восстановление системы на сервере. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: 2018-11-29 17:29 - 2018-11-29 22:05 - 000007173 _____ C:\Windows\64.exe 2018-11-29 16:35 - 2018-11-29 22:05 - 000008190 _____ C:\Windows\service.exe 2018-11-29 16:35 - 2018-11-29 22:04 - 000007173 _____ C:\Windows\c64.exe 2018-10-16 11:40 - 2018-10-16 11:40 - 000000000 __RSD C:\Windows\qeriuwjhrf Folder: C:\Windows\iis zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". RDP-MAIN-TORG_2018-11-30_09-07-19_v4.1.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 ноября, 2018 Share Опубликовано 30 ноября, 2018 Не вижу второго лога. Обновления на сервере все установлены? Касперского если переустановить, то проблема с ним сохраняется? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c breg delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref KERNCAP.VBS delall %SystemRoot%\SVCHOST.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WMIAPPSRV\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WMIAPPSRV\SVCHOST.EXE deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\WMIAPPSRV deldir %SystemDrive%\PROGRAMDATA\WMIAPPSRV В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Перезагрузите сервер, сделайте новый лог uVS (желательно из консоли и с правами Администратора) Цитата Ссылка на сообщение Поделиться на другие сайты
AndreyL. 0 Опубликовано 3 декабря, 2018 Автор Share Опубликовано 3 декабря, 2018 Не вижу второго лога. Обновления на сервере все установлены? Касперского если переустановить, то проблема с ним сохраняется? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c breg delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref KERNCAP.VBS delall %SystemRoot%\SVCHOST.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WMIAPPSRV\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WMIAPPSRV\SVCHOST.EXE deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\WMIAPPSRV deldir %SystemDrive%\PROGRAMDATA\WMIAPPSRV В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Перезагрузите сервер, сделайте новый лог uVS (желательно из консоли и с правами Администратора) Проблему вроде решили, наконец то отключили машину от инета, пробежались еще пару раз сканерами и удалось переустановить Касперского с KES 10 на 11 который после полной проверки все таки убил этого трояна. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 3 декабря, 2018 Share Опубликовано 3 декабря, 2018 Уверены, что до конца? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.