Неизвестный процесс забивает весь трафик, периодически создаются непонятные локальные учетные записи. Не один антивирус ничего не находит.
Printable View
Неизвестный процесс забивает весь трафик, периодически создаются непонятные локальные учетные записи. Не один антивирус ничего не находит.
Уважаемый(ая) [B]serhis[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
QuarantineFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', '');
QuarantineFile('C:\ProgramData\systemSSE2\st.exe', '');
QuarantineFile('C:\Windows\svchost.exe', '');
QuarantineFile('C:\Users\bs\AppData\Roaming\postgre.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
DeleteFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', '32');
DeleteFile('C:\ProgramData\systemSSE2\st.exe', '32');
DeleteFile('C:\Windows\svchost.exe', '32');
DeleteFile('C:\Users\bs\AppData\Roaming\postgre.exe', '32');
DeleteService('spoolsrvrs');
DeleteService('werlsfks');
DeleteService('WPFFontCache_v0400');
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\windows\inf\netlibrariestip');
DeleteDirectory('c:\windows\microsoft.net\framework');
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Skype" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23556fb1360f366337f97c924e76ead3', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\st.exe', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Win Services ', 'command');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
end.[/code]Перезагрузите сервер.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Смените пароли учётных записей с правами администратора и правом входа по RDP.
Установите [B]все[/B] обновления для системы, включая [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598"]это[/URL].
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Результат работы UVS.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTR.DLL
addsgn A7679B1928664D070E3CBBB164C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B91EA53F03E16B46952C027D7EEC9257CAE67B9239426F7CB82273 24 Adware.Inject.343552 [ViRobot] 6
zoo %SystemRoot%\ADFS\CTFMON.EXE
addsgn 9AEDB7C555824D720BD46D72733AAF1C84EDC59B8F5DEC3D2EA2917AC74108608D0BABE9424251CEC82D7D59D349A0F07066E21B7C6F8BBA29A63D2B76D3AE9E 8 Backdoor/Huigezi.jul [Jiangmin] 7
chklst
delvir
dirzooex %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES
dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER
deldir %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES
deldir %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER
czoo
delref %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES\EXPLORER.EXE
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\SECURESURF.TESTER.EXE
delref %SystemDrive%\USERS\ASIRIK\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\AZAVRICHKO\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\VBEREZA\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\BS\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\WEBISIDA.BROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTRX64.DLL
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сразу же сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сделайте новый полный образ автозапуска uVS, если не поместится во вложения - загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку
Лог и образ
[CODE]C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\SYS.EXE[/CODE]Ваш файл? Если нет - удалите.
Заразу зачистили. Закройте на mikrotik доступ по RDP с левых адресов.
Обновления все установили?
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
все обновления установлены, рядом с файлом sys.exe была обнаружена папка "rdp сканер портов", тоже удалена.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
2017-08-01 11:18 - 2017-08-07 08:11 - 000000076 _____ C:\Users\azavrichko\AppData\Roaming\svchost.exe.tmp
2017-07-20 10:02 - 2017-08-22 08:27 - 000000078 _____ C:\Users\serhis\AppData\Roaming\svchost.exe.tmp
Folder: C:\Windows\ADFS
Task: {737B2E9B-EC97-4611-A6AC-A56A76E54A02} - \Skype -> No File <==== ATTENTION
MSCONFIG\startupfolder: C:^Users^serhis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^23556fb1360f366337f97c924e76ead3.exe => C:\Windows\pss\23556fb1360f366337f97c924e76ead3.exe.Startup
MSCONFIG\startupreg: 23556fb1360f366337f97c924e76ead3 =>
MSCONFIG\startupreg: st.exe =>
MSCONFIG\startupreg: svchost =>
MSCONFIG\startupreg: Win Services =>
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Лог
Удалите папку C:\Windows\ADFS
И всё на этом, если проблема решена.
Спасибо большое. Посмотрим как себя будет вести)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \mscstr.dll._3285fde39ac6c34f595f13593fb72e8d60c0d344 - [B]HEUR:HackTool.Win32.Inject.heur[/B][/LIST][/LIST]