Проверка на вирусы [not-a-virus:RiskTool.Win32.Agent.aouh, not-a-virus:RiskTool.Win32.Agen= t.amrm]

Printable View

15.08.2019, 15:02
Dreiko

Проверка на вирусы [not-a-virus:RiskTool.Win32.Agent.aouh, not-a-virus:RiskTool.Win32.Agen= t.amrm]

Здравствуйте! Прошу помочь в нахождении и удаления вирусов и их остатков. Подозрения были на вирусы. Проверил антивирусной утилитой. Нашел несколько штук...
15.08.2019, 15:03
Info_bot

Уважаемый(ая) [B]Dreiko[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.08.2019, 20:51
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe');
TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe');
TerminateProcessByName('c:\windows\fonts\web\gecko\plugin-container.exe');
TerminateProcessByName('c:\windows\fonts\web\gecko\securesurf.browser.client.exe');
TerminateProcessByName('c:\windows\fonts\web\taskhost.exe');
TerminateProcessByName('c:\windows\fonts\web\webisida.browser.exe');
TerminateProcessByName('c:\windows\fonts\web\winlogon.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
StopService('spoolsrvrs');
StopService('TrkWk');
StopService('werlsfks');
QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', '');
QuarantineFile('c:\windows\fonts\web\gecko\plugin-container.exe', '');
QuarantineFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', '');
QuarantineFile('c:\windows\fonts\web\taskhost.exe', '');
QuarantineFile('c:\windows\fonts\web\webisida.browser.exe', '');
QuarantineFile('c:\windows\fonts\web\winlogon.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
QuarantineFileF('c:\programdata\microsoft\drm\khokaboda', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', '');
DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', '');
DeleteFile('C:\Windows\Fonts\web\gecko\Capinet.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\freebl3.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\lgpllibs.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\libEGL.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\libGLESv2.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\MemIPC.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\mozavcodec.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\mozavutil.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\mozglue.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\nss3.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\nssckbi.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\nssdbm3.dll', '');
DeleteFile('c:\windows\fonts\web\gecko\plugin-container.exe', '');
DeleteFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', '');
DeleteFile('C:\Windows\Fonts\web\gecko\SecureSurf.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\softokn3.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\xul.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.dll', '');
DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.Windows.Forms.dll', '');
DeleteFile('c:\windows\fonts\web\taskhost.exe', '');
DeleteFile('c:\windows\fonts\web\webisida.browser.exe', '');
DeleteFile('c:\windows\fonts\web\winlogon.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EntityFramework\NetLibrary" /F', 0, 15000, true);
DeleteService('spoolsrvrs');
DeleteService('TrkWk');
DeleteService('werlsfks');
DeleteFileMask('c:\programdata\microsoft\drm\khokaboda', '*', true);
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\programdata\microsoft\drm\khokaboda');
DeleteDirectory('c:\windows\inf\netlibrariestip');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
end.[/code]Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
19.08.2019, 07:28
Dreiko

Прикрепил. Также при перезагрузке или завершении работы сервера, система зависает на записи "завершение работы", приходится завершать физически (кнопкой). Не могу понять какой процесс не дает завершить работу...
19.08.2019, 20:41
Vvvyg

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\SETH.EXE
addsgn 9A24779A55024C720BD4C6A9A78812ED79AAFCF60A3E131085C3C5BCB883514C23B4DF947E55F5492B8084F7460649FA15DFE8725532F20C2D7707370446229B 12 TrojWare.Win32.CoinMiner.IEGT [Comodo] 7
chklst
delvir
deltmp
delref %SystemDrive%\USERS\ASKY\SVCHOST.EXE
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\TEMP\2\9D00D37-6508138D-7AD7AF3D-B98852A\CF268F3F.SYS
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=48m Events.7z *.evtx
czoo
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

В папке с UVS появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
20.08.2019, 10:29
Dreiko

Вложений: 2

Прикрепил
Ссылка на Events [url]https://yadi.sk/d/LC7bVGuwmpbe8g[/url]
20.08.2019, 21:36
Vvvyg

Sbcntvf полностью обновлена?

[NOTICE]Проведите фикс в FRST в безопасном режиме, может быть перезагрузка системы[/NOTICE]
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]Start::
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
SetDefaultFilePermissions: C:\Windows\SysWOW64\DWWIN.EXE
SetDefaultFilePermissions: C:\Windows\SysWOW64\eventvwr.msc
SetDefaultFilePermissions: C:\Windows\SysWOW64\WerFault.exe
SetDefaultFilePermissions: C:\Windows\SysWOW64\wermgr.exe
File: C:\Windows\SysWOW64\DWWIN.EXE
File: C:\Windows\SysWOW64\eventvwr.msc
File: C:\Windows\SysWOW64\WerFault.exe
File: C:\Windows\SysWOW64\wermgr.exe
MSCONFIG\startupreg: Acronis Scheduler2 Service => "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe"
MSCONFIG\startupreg: AcronisTibMounterMonitor => C:\Program Files (x86)\Common Files\Acronis\TibMounter\tib_mounter_monitor.exe
MSCONFIG\startupreg: Veeam.EndPoint.Tray.exe => C:\Program Files\Veeam\Endpoint Backup\Veeam.EndPoint.Tray.exe -NoControlPanel -CheckNumberOfRunningAgents
FirewallRules: [{328D5554-A789-4E90-AB52-D2760E31A7E9}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File
FirewallRules: [{4FE2E364-B667-4B2D-BE91-7CB9267DFBAF}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
FirewallRules: [{60444B96-4740-42E4-B234-FDDCD0E8505F}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
FirewallRules: [{6F6CB340-12D9-4ECA-824B-658B7F4F855A}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File
FirewallRules: [{4AC9C88E-30F4-4DB1-A854-F6E80A91866F}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File
FirewallRules: [{D35B3C08-2EBB-43D7-9151-898FEC9674FD}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File
FirewallRules: [{A7CF41FB-8888-4AD4-AEB7-EC90857BC0C7}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
FirewallRules: [{EC84BBB5-A06B-4A1D-B336-848425D96C81}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
FirewallRules: [{E9A32958-FB69-46A3-A77D-D1948E8F51E1}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File
FirewallRules: [{45F43A78-EBE0-44AC-8625-651530ECE6B9}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File
FirewallRules: [{F2A96842-6F65-4DBC-9D69-8DA00D009A46}] => (Allow) C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe No File
End::[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Перезагрузите систему, если это не сделал FRST.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите [B]sfc /scannow[/B] и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Сообщите, что с проблемами.
21.08.2019, 05:12
Dreiko

[QUOTE]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.[/QUOTE]

Хочу уточнить, как она(система) восстановит файлы, если диска нет? Диск необходим или желателен? Флешка загрузочная подойдет?
21.08.2019, 06:57
Vvvyg

Команда sfc /scannow проверит все защищенные системные файлы и заменит поврежденные файлы их кэшированной копией, расположенной в сжатой папке по адресу %WinDir%\System32\dllcache.
06.09.2019, 07:31
Dreiko

Видать не зря были предположения на вирусы... Взломали сервер по RDP. Пароль вовремя не сменил. Просьба начать всё сначала.
Это сервер №3. Тема уже есть на Сервер№2.
Сервер№1 - не могу запустить Autologger, выдает ошибку по созданию файла AVZ.
Сервер№3 изначально был взломан по RDP 05.09.2019 в 0.04 ip:23.129.64.204 (скорее всего VPN)
Взломали сервер 1С, зашифровали всё досконально. А с него все сетевые папки.
Наперед спрошу можно ли восстановить работоспособность сервера 1С и MySQL сервера? Базу из beckup восстановлю. С нуля неохота всё восстанавливать, хотя может это и к лучшему...
06.09.2019, 21:21
Vvvyg

Можно ли восстановить 1С и MySQL - это там на месте виднее.
Подозреваю, тут проще систему переустановить. И не забыть потом уязвимости закрыть, защититься от брутфорса, проверить конфиг и уязвимости Mikrotik...
07.09.2019, 05:35
Dreiko

Принято. Тогда эту тему можно закрывать
07.09.2019, 05:45
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]17[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\programdata\microsoft\drm\khokaboda\bzaya.exe - [B]not-a-v=
irus:HEUR:RiskTool.Win32.BitCoinMiner.gen[/B] ( AVAST4: Win32:CryptoMi=
ner-L [Trj] )[*] c:\programdata\microsoft\drm\khokaboda\netframework.exe - [B]=
HEUR:Trojan.MSIL.Miner.gen[/B] ( AVAST4: Win64:Trojan-gen )[*] c:\windows\fonts\web\taskhost.exe - [B]UDS:DangerousObject.Mul=
ti.Generic[/B][*] c:\windows\fonts\web\winlogon.exe - [B]Trojan-Spy.Win32.Delf.a=
vga[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe =
- [B]Trojan.Win32.Agentb.bwzf[/B][*] c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spo=
olsv.exe - [B]Trojan.Win32.Agentb.bwzg[/B][*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wa=
hiver.exe - [B]not-a-virus:RiskTool.Win32.Agent.aouh[/B][*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wa=
sp.exe - [B]not-a-virus:RiskTool.Win32.Agent.amrp[/B][*] c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wa=
spwing.exe - [B]not-a-virus:RiskTool.Win32.Agent.amrm[/B][/LIST][/LIST]
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
[LIST=3D1][*]=CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 ![/LIST]