Решена Зараза на рабочем компьютере

Статус
В этой теме нельзя размещать новые ответы.
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Есть зараза на рабочем компе пользователя, создающая папки Skypee и Google в корне системных дисков и съёмных носителей, а также ярлыки с названием папок в тех папках, в которые заходил пользователь.
Посмотрел, наверное, одна из разновидностей Worm.Win32.AutoIt.aiy.
Просьба почистить, логи во вложении.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,521
Реакции
13,120
Баллы
2,203
Ваше?
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CLEAN.BAT
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\install.bat

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Благодарю.

Лог во вложении.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,521
Реакции
13,120
Баллы
2,203
Все, что нашел MBAM можно удалить

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\egorov_ev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2018-04-03]
    ShortcutTarget: helper.lnk -> C:\Users\egorov_ev\AppData\Roaming\WindowsServices\helper.vbs (No File)
    Startup: C:\Users\krupenin_am\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2018-04-05]
    ShortcutTarget: helper.lnk -> C:\Users\krupenin_am\AppData\Roaming\WindowsServices\helper.vbs (No File)
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKU\S-1-5-21-532101092-2874847001-651054773-1008\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Fixlog во вложении.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Проблема еще сохраняется?
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Погляжу до завтра...
Отпишусь о результатах ..
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Да, все в порядке - можно закрывать тему.

Благодарю всех.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Проблема появилась снова. Наверное, кто-то из пользователей в мое отсутствие кликнул по одному из ярлыков на флешке, который создал этот "зверь" и зараза появилась снова. Возможно, ещё что-то, что я не знаю...

Снова сделал логи Autologger'ом
Также логи MBAMa
Сделал удаление MBAMом
Затем сделал логи FRST
Затем удалил все папки Skypee в корне всех дисков

Все вышеперечисленные логи во вложении.

P.S. Модераторам - просьба перенести тему (создать заново), если нельзя далее писать в эту.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Продолжаем здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\google\omo.exe');
 QuarantineFile('\\domain3.npo\SYSVOL\DOMAIN3.NPO\scripts\LYT-SRV13.vbs', '');
 QuarantineFile('C:\Google\GoogleUpdate.lnk', '');
 QuarantineFile('c:\google\omo.exe', '');
 QuarantineFile('C:\Google\Windowsupdate.lnk', '');
 DeleteFile('C:\Google\GoogleUpdate.lnk', '32');
 DeleteFile('c:\google\omo.exe', '32');
 DeleteFile('C:\Google\Windowsupdate.lnk', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '1', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '1', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeFlash', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeFlash', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeUpdate', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeUpdate', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2779\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Очень устаревшие и уязвимые версии:
Код:
Java 7 Update 25 (64-bit)
Java(TM) 6 Update 25 (64-bit)
Удалите и, если нужна, установите актуальную.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Благодарю

Карантин отправил: 2018.11.30_quarantine_03a6f386ed59ec98dd14ad5fccfd3d53.7z

Новые логи Autologger'a во вложении.

Эту не могу - она нужна для работы TeamCenter.
Другую (более старую) скорее всего удалю (возможно, на ней старая версия ТС), уточню.

Вопрос: судя по логам, получается что заражен доменный сервер или это пока не факт? Если так, то какова процедура избавления от этой дряни?

Комп не имеет прямого доступа к интернету.
Сама зараза, вероятнее всего, с usb-носителя.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
получается что заражен доменный сервер
Сомневаюсь. А вот уязвима ли ваша система, мы пока не знаем, т.к. вы не закончили предыдущее лечение.

Дополнительно еще раз:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Логи FRST во вложении.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    HKU\S-1-5-21-532101092-2874847001-651054773-1008\...\MountPoints2: {291b4714-c06d-11e6-a3b9-0019db24642b} - G:\setup.exe
    HKU\S-1-5-21-532101092-2874847001-651054773-1008\...\MountPoints2: {291b473e-c06d-11e6-a3b9-0019db24642b} - G:\setup.exe
    HKU\S-1-5-21-532101092-2874847001-651054773-1008\...\MountPoints2: {291b4aef-c06d-11e6-a3b9-0019db24642b} - D:\Setup.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Выполнено. Во вложении.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Что сейчас с проблемой?
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Папок Skypee и Google нет, на флешки записаться не пытался, хотя пришлось записать несколько файлов на пару флешек.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу