массовое заражение win 2008 r2 и win7 .спарадическая перезагрузка, нет доступа к общим папкам

[COLOR=#000000][FONT=verdana]Доброе времени суток.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]Вчера (как раз как я ушел в отпуск ...) хватанула моя фирма вирус.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]Перестал работать ms exchane по rpc. пару десятков компов самопроизвольно перезагрузились.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]Зараженные компы лезут с дикой скоростью в инет по 445 порту на рандомные ip интернета.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]На зараженных компах есть левая политика ipsec с именем qianye.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]Сервера регулярно падают в bsod с разными кодами.
[/FONT][/COLOR]Через защиту системы увидел, что на последней точке восстановления на зараженных компах w7 есть левые драйвера.
[COLOR=#000000][FONT=verdana]Выручайте друзья.[/FONT][/COLOR]
[COLOR=#000000][FONT=verdana]Прилагаю логи с одного более менее стабильного сервака.[/FONT][/COLOR]

Уважаемый(ая) [B]anartion[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

строки hijackthisом пофиксил...
avz не отработал... хотя я дал ему инет...пинги ходят ...инета нет.
Когда дал инет на пк, словил закрытое сообщение в командной строке (фото)

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Folder: C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2020-12-07 12:42 - 2020-12-07 12:42 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
File: C:\ProgramData\temp1.exe
2018-11-17 19:05 - 2018-12-06 23:23 - 000006873 _____ () C:\ProgramData\temp1.exe
2020-12-09 14:57 - 2020-12-09 14:57 - 000272488 _____ C:\Windows\Minidump\120920-22573-01.dmp
2020-12-08 20:12 - 2020-12-08 20:12 - 000272488 _____ C:\Windows\Minidump\120820-22011-01.dmp
2020-12-07 22:39 - 2020-12-07 22:39 - 000272488 _____ C:\Windows\Minidump\120720-22432-01.dmp
2020-12-07 22:29 - 2020-12-07 22:29 - 000272488 _____ C:\Windows\Minidump\120720-23618-01.dmp
2020-12-07 12:29 - 2020-12-07 12:29 - 000272488 _____ C:\Windows\Minidump\120720-23103-01.dmp
2020-12-07 12:28 - 2020-12-09 14:57 - 568666220 _____ C:\Windows\MEMORY.DMP
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Ставьте хотя бы [URL="https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212"]KB4012212[/URL] на все компьютеры (лучше, конечно, по полной обновить), иначе не избавитесь от проблем.

Готово. Спасибо, что помогаете мне.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Готово.

Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованным в архив содержимое папки C:\KVRT_Data.
И обновления ставьте, боремся с последствиями.

Обновления ставлю.
Репорт в атаче.

После обновлений - ещё проверку KVRT сделайте и результат выложите.

Обновил.
Запустил 2 раза KVRT

Ещё раз лог Farbar Recovery Scan Tool сделайте.

Обновления все установлены? Доступ в интернет есть? Если да, скрипт из сообщения #3 выполните.

Добрый день. FRST сделал. Пока волнует:

==================== Safe Mode (Whitelisted) ==================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms4BE33FA0App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms4BE33FA0App => ""="Service"

Инета нет. Браузер сразу 404. Хотя telnetом 443 и 80 открываются. Это только на этой машине. На других всё норм.
Да и бог с ним. Я решил пустить эту машину по нож.
Метода лечения теперь понятна. KVRT решает + обновы.
Спасибо Вадим.

Это остатки от драйверов KVRT и того, что он вылечил. Зачистим, выделите код:[CODE]Start::
NETSVC: Ms4BE33FA0App -> no filepath.
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms4BE33FA0App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms4BE33FA0App => ""="Service"
AlternateDataStreams: C:\ProgramData\TEMP:AE7261F6 [362]
FirewallRules: [{F781119C-0DF4-444B-8793-094C0F01A35B}] => (Allow) C:\Program Files\Microsoft SQL Server\MSSQL10.RTC\MSSQL\Binn\sqlservr.exe => No File
FirewallRules: [{7E9317AD-0C84-4173-8CB7-7FE8E2C5A4E2}] => (Block) LPort=445
End::[/CODE]И Fix в FRST. Новый Fixlog.txt прикрепите.