- Сообщения
- 25,109
- Решения
- 5
- Реакции
- 13,711
https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/ - и такой лог давайте посмотрим
Сервер перезагружался после скриптов?
Сервер перезагружался после скриптов?
Смотрите видео ниже, чтобы узнать, как установить наш сайт в качестве веб-приложения на домашнем экране.
Примечание: Эта возможность может быть недоступна в некоторых браузерах.
С какими логами?) я же вроде бы сбросил, или я что-то не понял!?Посоветовала правильно, но отчасти бессмысленно. Пусть смотрят конечно. Что с логами?
Я писал о журналах Windows, и скорее всего ввел в заблуждение неверной формулировкой. Для примера "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)С какими логами?) я же вроде бы сбросил, или я что-то не понял!?
Посмотрел "События" не чего подозрительного нетЯ писал о журналах Windows, и скорее всего ввел в заблуждение неверной формулировкой. Для примера "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)
Тогда дочистим и уберу tools.vbs ибо подозрителен (если ваше уберите строки из скрипта)Download Master не могу найти в C:\Program Files (x86) его там нет
Start::
CreateRestorePoint:
HKU\S-1-5-21-569197483-187135599-1525542100-1002\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1003\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1004\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1005\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1006\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1008\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1011\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1022\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1030\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
HKU\S-1-5-21-569197483-187135599-1525542100-1038\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
2018-05-29 07:16 - 2018-05-29 19:40 - 000000915 _____ C:\Users\Все пользователи\tools.vbs
2018-05-29 07:16 - 2018-05-29 19:40 - 000000915 _____ C:\ProgramData\tools.vbs
EmptyTemp:
Reboot:
End::
;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c
adddir %SystemDrive%\USERS\
adddir %SystemDrive%\ProgramData
crimg
Это запчасть от Acronis Backup — это возможность предотвращать атаки, восстанавливать виртуальные машины за считаные секунды и сокращать объемы простоев благодаря непревзойденному директивному времени восстановленияAcronis Agent User
Не нужно, а то пользователи заразиться смогутСегодня опять появился файл в диспетчере задач SQLAGENT94.exe ест ЦП на 50. находится он также в C:\ProgramData (прикреплю его Вам тоже)
Это о архивеПосле этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemRoot%\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
; C:\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
bl 6938B0FD7C8C4F87376BB878E70333A2 4734976
addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Win32.BitCoinMiner.jpqg [Kaspersky] 7
; C:\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
bl 1F54CAE08837D9DD85FF402C98E4F3B8 605814
addsgn A1BA20CF1DE779A8902E51F9E976C99AD475AB4EF5460C78D58B4C5D185F8B04AAE07D595A509D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 Adware/BitCoinMiner 7
; C:\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
zoo %SystemDrive%\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
bl 9EA852F7545CABDDD46750099F5E0B26 189952
addsgn A1BA20CF1DE779383D2951F9E976C91ADF75B47B0E663470853CF57B50862A4C8E4794EFCEC895497BC80D7E0E9FB3B2F42856D79CD8B07965FE416B4C0F6BFA 8 Trojan.Win64.CoinMiner 7
chklst
delvir
czoo
restart
В логах выложенных ранее, в разрешенных правилах вашего Firewall виден этот файл
%systemroot%\system32\scshost.exe
сами давали это разрешение?
Если нет, тогда проверьте его на VT ссылку на результат проверки выложите здесь.
++++
Проверьте, а еще лучше в вирлаб зашлите.
C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL
Подробнее читайте в этом руководстве.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG zoo %SystemRoot%\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE ; C:\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE bl 6938B0FD7C8C4F87376BB878E70333A2 4734976 addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Win32.BitCoinMiner.jpqg [Kaspersky] 7 ; C:\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE bl 1F54CAE08837D9DD85FF402C98E4F3B8 605814 addsgn A1BA20CF1DE779A8902E51F9E976C99AD475AB4EF5460C78D58B4C5D185F8B04AAE07D595A509D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 Adware/BitCoinMiner 7 ; C:\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE zoo %SystemDrive%\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE bl 9EA852F7545CABDDD46750099F5E0B26 189952 addsgn A1BA20CF1DE779383D2951F9E976C91ADF75B47B0E663470853CF57B50862A4C8E4794EFCEC895497BC80D7E0E9FB3B2F42856D79CD8B07965FE416B4C0F6BFA 8 Trojan.Win64.CoinMiner 7 chklst delvir czoo restart
- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
- После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.- Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Архив без пароля, вот и ругается. Упакуйте архив с паролем virus и попробуйте отправить еще раз.К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:
Соберите и прикрепите свежий лог uVS.
Возможно. В логах эти задания не отображаются.dr.web нам написал вот что - Атаки производятся через MS SQL Server, проверьте список заданий в планировщике MS SQL Server, если есть подозрительные задания, то их нужно отключить.