• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена "Майнер" на сервере с названием SQLAGENT95

Статус
В этой теме нельзя размещать новые ответы.

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
Посоветовала правильно, но отчасти бессмысленно. Пусть смотрят конечно. Что с логами?
С какими логами?) я же вроде бы сбросил, или я что-то не понял!?
Post automatically merged:

https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/ - и такой лог давайте посмотрим

Сервер перезагружался после скриптов?
Перезагружался
Post automatically merged:

файл добавил в архив, так он не сбрасывался
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Значит будем думать.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Download Master не могу найти в C:\Program Files (x86) его там нет
Тогда дочистим и уберу tools.vbs ибо подозрителен (если ваше уберите строки из скрипта)
Malwarebytes - что-то ловит? Устанавливали ли его сами?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-569197483-187135599-1525542100-1002\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1003\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1004\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1005\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1006\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1008\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1011\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1022\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1030\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    HKU\S-1-5-21-569197483-187135599-1525542100-1038\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun
    2018-05-29 07:16 - 2018-05-29 19:40 - 000000915 _____ C:\Users\Все пользователи\tools.vbs
    2018-05-29 07:16 - 2018-05-29 19:40 - 000000915 _____ C:\ProgramData\tools.vbs
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
Malwarebytes устанавливал сам, потом удалял. Сейчас опять установил, угроз он не нашёл. Fixlog.txt прикрепляю удалил всё что Вы написали.
Post automatically merged:

Проблема не решилась, по прежнему добавляются одни и те же файлы в карантин dr.web. Обновил Microsoft SQL Server 2008 R2 до server pack 3.
 

Вложения

Последнее редактирование:

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
C:\ProgramData\tools.vbs

Опять появился
 

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Ну, что ж продолжим мучатся с сервером. Поддержка дрвеб, что-то интересного посоветовала?

И вопросы:
1. Насколько я понимаю сервер смотрит в интернет напрямую без защиты брандмауера?
2. Ваша прокси 1172.16.0.236:3128? Ip копировал, возможно в настройках ошибка
3. Откройте лог Addition.txt и посмотрите список разрешающих правил фаерволла, все ли порты открывались вами.
4. В логе проверьте список доверенных узлов, все ли ваши. То, что не ваше пофикситие через HJT
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065555850 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065556037 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1028-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065558990 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'Acronis Agent User')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-21-569197483-187135599-1525542100-1033-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05292018065559271 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'unknown')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [@ivt] protocol is in Unknown Zone, should be Intranet Zone(User: 'Classic .NET AppPool')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [file] protocol is in Unknown Zone, should be Internet Zone(User: 'Classic .NET AppPool')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [ftp] protocol is in Unknown Zone, should be Internet Zone(User: 'Classic .NET AppPool')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [http] protocol is in Unknown Zone, should be Internet Zone(User: 'Classic .NET AppPool')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [https] protocol is in Unknown Zone, should be Internet Zone(User: 'Classic .NET AppPool')
O15 - ProtocolDefaults: HKU\S-1-5-82-1036420768-1044797643-1061213386-2937092688-4282445334 - [shell] protocol is in Unknown Zone, should be My Computer Zone(User: 'Classic .NET AppPool')
5.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    adddir %SystemDrive%\USERS\
    adddir %SystemDrive%\ProgramData
    crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS
 

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
Здравствуйте. Поддержка dr.web попросила полностью обновить обновления безопасности для Microsoft SQL Server 2008 R2 (SP3).

Брандмауэр на сервере включен. Да, это наш прокси-сервер - 172.16.0.236:3128. По поводу правил фаерволла, лога Addition.txt, я в этом вообще не разбираюсь, открывались порты не мной, другой человек их открывал который уже давно уволился. Acronis Agent User не знаю что такое, наверное можно удалить!?

Прикладываю образ автозапуска.

Сегодня опять появился файл в диспетчере задач SQLAGENT94.exe ест ЦП на 50. находится он также в C:\ProgramData (прикреплю его Вам тоже)
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
Это запчасть от Acronis Backup — это возможность предотвращать атаки, восстанавливать виртуальные машины за считаные секунды и сокращать объемы простоев благодаря непревзойденному директивному времени восстановления

Сегодня опять появился файл в диспетчере задач SQLAGENT94.exe ест ЦП на 50. находится он также в C:\ProgramData (прикреплю его Вам тоже)
Не нужно, а то пользователи заразиться смогут

Лог USV не тот, нужен свежий архив как в прошлый раз
После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
Это о архиве
 

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
Доброе утро! Выполнил полную проверку dr.web сервера нашёл около 10 вирусных записей, всё почистили.

Теперь в карантине появляется только C:\Programdata\tools.vbs. SQLАgent исчез.

Прикрепляю лог UVS.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,653
Баллы
753
В логах выложенных ранее, в разрешенных правилах вашего Firewall виден этот файл
%systemroot%\system32\scshost.exe
сами давали это разрешение?
Если нет, тогда проверьте его на VT ссылку на результат проверки выложите здесь.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
++++
Проверьте, а еще лучше в вирлаб зашлите.
C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    zoo %SystemRoot%\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
    ; C:\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
    zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
    bl 6938B0FD7C8C4F87376BB878E70333A2 4734976
    addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Win32.BitCoinMiner.jpqg [Kaspersky] 7
    
    ; C:\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
    bl 1F54CAE08837D9DD85FF402C98E4F3B8 605814
    addsgn A1BA20CF1DE779A8902E51F9E976C99AD475AB4EF5460C78D58B4C5D185F8B04AAE07D595A509D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 Adware/BitCoinMiner 7
    
    ; C:\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
    bl 9EA852F7545CABDDD46750099F5E0B26 189952
    addsgn A1BA20CF1DE779383D2951F9E976C91ADF75B47B0E663470853CF57B50862A4C8E4794EFCEC895497BC80D7E0E9FB3B2F42856D79CD8B07965FE416B4C0F6BFA 8 Trojan.Win64.CoinMiner 7
    
    chklst
    delvir
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
В логах выложенных ранее, в разрешенных правилах вашего Firewall виден этот файл
%systemroot%\system32\scshost.exe
сами давали это разрешение?
Если нет, тогда проверьте его на VT ссылку на результат проверки выложите здесь.
Antivirus scan for e1ff7c28d533f225a9470f4ed055c7beb1ebde639863e5861bc93bae29a99006 at 2018-03-14 04:05:31 UTC - VirusTotal
Post automatically merged:

++++
Проверьте, а еще лучше в вирлаб зашлите.
C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    zoo %SystemRoot%\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP\UPDATEPATCH\MSASCUILE.EXE
    ; C:\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
    zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\IPODSERVICES.EXE
    bl 6938B0FD7C8C4F87376BB878E70333A2 4734976
    addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Win32.BitCoinMiner.jpqg [Kaspersky] 7
    
    ; C:\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\DOCUMENTS\HYPER-V\SEARCHFILTERHOSTS.EXE
    bl 1F54CAE08837D9DD85FF402C98E4F3B8 605814
    addsgn A1BA20CF1DE779A8902E51F9E976C99AD475AB4EF5460C78D58B4C5D185F8B04AAE07D595A509D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 Adware/BitCoinMiner 7
    
    ; C:\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
    zoo %SystemDrive%\USERS\PUBLIC\LIBRARIES\SECRCHINDEXERS.EXE
    bl 9EA852F7545CABDDD46750099F5E0B26 189952
    addsgn A1BA20CF1DE779383D2951F9E976C91ADF75B47B0E663470853CF57B50862A4C8E4794EFCEC895497BC80D7E0E9FB3B2F42856D79CD8B07965FE416B4C0F6BFA 8 Trojan.Win64.CoinMiner 7
    
    chklst
    delvir
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
Доброе утро!

Antivirus scan for 26b70ea630d8edb3844f6bb60efa05ddf296d80b144f27f46902896f00e075c2 at 2018-06-05 04:47:49 UTC - VirusTotal

Antivirus scan for 740374480d31ab6a36593e4e8d4eb548c78aa3ab24e4edc28cb9e749542a4c98 at 2018-05-30 12:00:09 UTC - VirusTotal

ZOO я направил Вам на эл. адрес
Post automatically merged:


Post automatically merged:

Письмо с файлом ZOO... не доходит пишет вот что -

Это письмо создано автоматически сервером Mail.Ru, отвечать на него не нужно.

К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

quarantine@safezone.cc
SMTP error from remote mail server after end of data:
host aspmx.l.google.com [74.125.205.27]: 552-5.7.0 This message was blocked because its content presents a potential
552-5.7.0 security issue. Please visit
552-5.7.0 File types blocked in Gmail - Gmail Help to review our
552 5.7.0 message content and attachment content guidelines. 24-v6si11230288ljc.291 - gsmtp

Рекомендуем Вам проверить корректность указания адресов получателей.
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,989
Баллы
643
Соберите и прикрепите свежий лог uVS.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:
Архив без пароля, вот и ругается. Упакуйте архив с паролем virus и попробуйте отправить еще раз.


MSASCuiLe.exe - отправьте в drweb, они еще не знают эту версию заразы
 
Последнее редактирование:

Сергей

Новый пользователь
Сообщения
23
Реакции
2
Баллы
13
Соберите и прикрепите свежий лог uVS.
Здравствуйте, прикрепляю лог uVS.

Архив всё равно не отправляется даже если и с паролем. пробовал через mail и yandex

MSASCuiLe.exe - отправили в drweb

dr.web нам написал вот что - Атаки производятся через MS SQL Server, проверьте список заданий в планировщике MS SQL Server, если есть подозрительные задания, то их нужно отключить.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,393
Реакции
1,989
Баллы
643
Сейчас проблема сохраняется?
 

akok

Команда форума
Администратор
Сообщения
18,930
Реакции
13,111
Баллы
2,203
dr.web нам написал вот что - Атаки производятся через MS SQL Server, проверьте список заданий в планировщике MS SQL Server, если есть подозрительные задания, то их нужно отключить.
Возможно. В логах эти задания не отображаются.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу