Printable View
Доброго времени суток!
Столкнулся с заразой в шапке в марте этого года, но тогда удалось успешно выкурить засранца путем удаления файлов. Недавно проявился снова: кроме чудовищной нагрузке на сеть теперь еще и при перезагрузке "теряются" права администраторов сервера, а сами перезагрузка/выключение длятся около 10 минут. Сами файлы, в т.ч. MPK.exe, удалены, следы зачищены, но подозрительная активность продолжается.
Прошу помочь в лечении этой заразы.
Уважаемый(ая) [B]groN[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('driverssart');
DeleteService('simplexpol');
DeleteService('stiinstall');
DeleteService('wefto');
DeleteService('WindowsDefender');
DeleteFile('C:\Windows\Inf\assemblity\0010\0011\000E\0015\mms.exe','32');
DeleteFile('C:\Windows\Inf\tracings\000D\1049\5.0\1049\5.0\mms.exe','32');
DeleteFile('C:\Windows\Inf\assemblity\0010\0011\000E\000A\0015\mms.exe','32');
DeleteFile('C:\Windows\Inf\tracings\000D\1049\5.0\SQL\lsm.exe','32');
DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/code]Перезагрузку компьютера выполните вручную.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Благодарю за ответ! Через час проверну скрипт и отпишу.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Скрипт прошел без ошибок. После ребута сделал логи, прикладываю.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Доброго времени суток!
Сканирование провел, отчет во вложении.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
S2 driverssart; C:\Windows\Inf\assemblity\0010\0011\000E\0015\mms.exe [X]
S2 simplexpol; C:\Windows\Inf\tracings\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 stiinstall; C:\Windows\Inf\assemblity\0010\0011\000E\000A\0015\mms.exe [X]
S2 wefto; C:\Windows\Inf\tracings\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\Inf\assemblity\0010
C:\Windows\Inf\tracings\000D
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [165]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [165]
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*][b]Перезагрузку компьютера[/b] выполните вручную.[/list]
Доброго времени суток!
Выполнил, прикрепляю логи к сообщению.
Что с проблемой?
Доброго времени суток!
От души благодарю за помощь в лечении и извиняюсь, что так долго не отвечал.
На данный практически все в порядке: пропали тормоза при работе, права больше не теряются! Но, машина по-прежнему "замерзает" в долгом ребуте на стадии завершения работы (примерно 10 минут) и в процессах периодически появляется (и сразу исчезает) conhost с интересным расположением (скрин во вложении). С чем может быть связано?
Доброго времени суток!
Снова возникла та же проблема: потеря прав и подвисание при работе в сети.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сохранил логи, но напрямую залить не могу: ругается на превышение допустимого размера для *.txt (959 Кб). Посему, даю линк на гугл-диск: [URL="https://drive.google.com/file/d/0B9jCbVZXt23DekJSUWhlSjQ4MEU/view?usp=sharing"]https://drive.google.com/file/d/0B9jCbVZXt23DekJSUWhlSjQ4MEU/view?usp=sharing[/URL]
P.S.: на свежую голову "сообразил", что можно было бы и поменять сам тип файла... Не знаю, нарушил ли я какое-либо правило на форуме внешней ссылкой (каюсъ, если что), потому загнал логи в архив и прикрепляю к сообщению.
Удалите в МВАМ все, [B]кроме[/B]
[CODE]CrackTool.Agent, X:\Общая\Секретарь\СOPY\D\ВОДОКАНАЛ\ГЛАВНЫЙ ИНЖЕНЕР\NOD32\NOD32[1].FIX.V1.8-NSANE.EXE, Проигнорировано пользователем, [324], [299351],1.0.2399
CrackTool.Agent, X:\Общая\Секретарь\СOPY\D\ВОДОКАНАЛ\ГЛАВНЫЙ ИНЖЕНЕР\NOD32\NOD32.RAR, Проигнорировано пользователем, [324], [299351],1.0.2399
RiskWare.DontStealOurSoftware, X:\Общая\ту\DRP 13\SOFT\MBAM.EXE, Проигнорировано пользователем, [744], [156874],1.0.2399
[/CODE]
Отправил зловредов в карантин, прикрепляю логи после перезагрузки.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Проблемы те же: недостаточно прав при запуске от администратора (той же cmd.exe), подвисания при работе в сети и 10-минутный ребут.
Сдается мне, что тут что-то системное. То, что у Вас было, к этому вряд ли приведет.
Но началось-то все именно с этого... Хотя, может, вредитель ручками подправил. Чтож, мне тоже наука: впредь буду гораздо серьезней относиться к сетевой безопасности и не оставлять шару rdp без присмотра и защиты.
Благодарю за ваше полезное дело!