[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить

[nikhopka]

@SQ, контрольный )

FRST.txtAddition.txt

Спасибо, Андрей, дай Вам Бог здоровья.

[SQ]

Ничего плохого не вижу. Сообщите пожалуйста, если проблема решена?

P.S. Также пожалуйста пройдитесь по пользователям и убедитесь, чтобы не повились какие-то незнакомые вам, если такие есть то отключите их до тех пор пока не выясните их легитимность, чтобы заново не инфицировать ваш сервер. Также не забывайте делать обновления приложений и ОС.

 

[nikhopka]

@SQ, сегодня прикрыла порт для MySQL, который торчал наружу. RDP учётки перебрала, отключила лишние, пассы поменяли.

KVRT снова выловил в ОЗУ заразу 

 

Посмотрите, пожалуйста.

FRST.txtAddition.txt

[SQ]

По каким-то причинам лог addition.txt не содержит всех нужных строк.

Если Ваше приложение MySQL уязвим, то его необходимо в срочном порядке обновлять. Важно перед обновлением сделать резервную копию и убедиться, чтобы база-данных MySQL не содержала вредоносный код.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. важно в случае нахожения какого либо вредоносного кода, не в коем случае не удаляйте самостоятельно, так как это может привезти к непредвиденным последствиям.

[nikhopka]

@SQ, переделала. 

Addition.txtFRST.txtTDSSKiller.3.1.0.28_31.03.2020_07.15.29_log.txt

[SQ]

Вредоносные записи вернулись.

Сделайте резервную копию состояния системы.
 

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  

  Start::
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
  WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
  WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что сервер возможно будет перезагружен.

Закройте для внешнего доступа базу-данных  MySQL и убедитесь, чтобы не присутствовало вредоносных баз-данных или файлов в директории MySQL\bin.
Смените все пароли.

[nikhopka]

Закройте для внешнего доступа базу-данных  MySQL и убедитесь, чтобы не присутствовало вредоносных баз-данных или файлов в директории MySQL\bin. Смените все пароли.

Внешка закрыта, баз нет, таблиц тоже, файлы в директории перепроверила, пароли сменили.

Сейчас должно быть пусто по идее.

FRST.txtAddition.txt

[SQ]

Сейчас должно быть пусто по идее.

да, в логах все чисто.

 

Вам по возможности необхоимо будет обновить базу-данных MySQL до актуальной версии.

 

Уточните, что с проблемой?

[nikhopka]

 

 

Вам по возможности необхоимо будет обновить базу-данных MySQL до актуальной версии.

Это будет в выходные, сейчас нельзя, к сожалению.

 

 

Уточните, что с проблемой?

Не могу знать, пока не пройдёт время, в ОЗУ появляется не сразу.

[SQ]

Тогда, буду ждать от вас информации. Отпишите пожалуйста когда будете ждать если проблема ушла или нет.

[nikhopka]

@SQ, пока вроде всё хорошо. Спасибо большое!

[SQ]

В завершение, если все ок и проблем более не возникает:

1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Сервер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[SQ]

Сообщите, если остались у Вас вопросы?

[SQ]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".