MEM:Trojan.Win32.SEPEH.gen [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m]

Printable View

Показывать 40 сообщений этой темы на одной странице

28.10.2018, 23:08
vlad.sau

add
28.10.2018, 23:20
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\igfxTray.exe
File: C:\Windows\SysWOW64\winver.exe
File: C:\Windows\system32\User32.dll
Zip: C:\Windows\system32\User32.dll
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
Task: {4AE0B88D-6476-45F9-BB38-E5ACDD7CC5DC} - \Mysa1 -> No File <==== ATTENTION
Task: {64A248A7-CA28-485D-BD7F-CB9008FF83A1} - \{2E0DB0A3-D0F1-47A2-A941-6C6D4006D48F} -> No File <==== ATTENTION
Task: {82144666-BF86-472B-A213-29211C1EDEB4} - \ok -> No File <==== ATTENTION
Task: {911511CE-7C34-4F5F-9F82-B1B929D5E892} - \Mysa -> No File <==== ATTENTION
Task: {9329229D-1B54-4A2F-83EC-10703637008D} - \Mysa2 -> No File <==== ATTENTION
Task: {AE8F6986-7C3E-4C5C-8D22-13F007549E95} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Task: {D8DA168A-5AB8-41ED-97B6-179A660A707E} - \Mysa3 -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms7DB53800App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms7DB53800App => ""="Service"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
28.10.2018, 23:25
vlad.sau

Карантин 181028_202417_28.10.2018_23.22.25_5bd61af119afa.zip
Лог в прил.
29.10.2018, 00:29
SQ

Выполните пожалуйста полную проверку на вирусы вашего ПК и сообщите, что с проблемой?
29.10.2018, 00:48
vlad.sau

Хронология
28.10.2018 23.28.04 Заблокирован опасный веб-адрес ca.fq520000.com:443/123.exe
29.10.2018 00.01.39 Обнаружен объект (файл) C:\Windows\mssecsvc.exe
29.10.2018 00.14.51 Обнаружен объект (файл) C:\Windows\mssecsvr.exe
Сейчас MEM:Trojan.Win32.SEPEH.gen
29.10.2018, 00:50
SQ

Сейчас находит опять?
29.10.2018, 00:51
vlad.sau

Да. Только что нашел.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Стучаться на адрес начал сразу после скрипта в фарбаре.
И после каскад обнаружений.
29.10.2018, 01:05
SQ

Соберите пожалуйста новый лог uVS.
29.10.2018, 01:16
vlad.sau

Итог проверки:
Trojan.Win32.EquationDrug.gen
Trojan.Win32.SEPEH.gen
Trojan.Win64.EquationDrug.gen
Rootkit.Win64.EquationDrug.a
Все в системной памяти.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

add
29.10.2018, 01:18
SQ

Сообщите пожалуйста у вас прямой интернет или через маршрутизатор(роутер)?
29.10.2018, 01:21
vlad.sau

DSL-модем
Dlink 2500u
29.10.2018, 01:24
SQ

Видимо ваш модем настроен как мост(bridge) и ваш ПК открыт и из-за уязвимости SMB на Ваш ПК проникает вредоносное ПО.

Утчоните пожалуйста у Вас Windows Firewall включен?

Вам необходимо установить обновления для Windows 7 x64 [URL="https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010"]закрывающие уязвимость SMB[/URL].
29.10.2018, 01:27
vlad.sau

Брандмауэр отключен.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Активировать не удается: Код ошибки 0x80070422
29.10.2018, 01:32
SQ

Тогда для начало установить обновление закрывающее уязвимость.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Уточните пожалуйста, какие-то ограничения в локальной политике устанавливали?
[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION[/CODE]
29.10.2018, 01:37
vlad.sau

Маловероятно.
29.10.2018, 01:38
SQ

Покажите пожалуйста результат следующей команды в командной строке(cmd.exe):
[CODE]reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"[/CODE]
29.10.2018, 01:49
vlad.sau

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ser
vices\MpsSvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Start REG_DWORD 0x4
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Security
29.10.2018, 01:52
SQ

Выполните следующие команды в командой строке (cmd.exe):
[CODE]reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start /t REG_DWORD /d 0x2
Net Start MpsSvc[/CODE]

После этого попробуйте включить Windows Firewall
29.10.2018, 02:04
vlad.sau

Не получается. Код ошибки прежний.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Установил kb4012212 Security Only[1].

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Пользователь>reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\se
rvices\MpsSvc" /v Start
Удалить параметр реестра Start без возможности восстановления (Y - да/N - нет)?
y
Операция успешно завершена.

C:\Users\Пользователь>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servi
ces\MpsSvc" /v Start /t REG_DWORD /d 0x2
Операция успешно завершена.

C:\Users\Пользователь>Net Start MpsSvc
Системная ошибка 1058.

Указанная служба не может быть запущена, поскольку она отключена или все связанн
ые с ней устройства отключены.
29.10.2018, 02:07
SQ

Попробуйте перегрузить ПК. Также сообщите если вы установили обновления для Windows 7 X64:
[URL="http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212"]KB4012212[/URL]
[URL="https://www.catalog.update.microsoft.com/search.aspx?q=kb4012215"]KB4012215[/URL]

Показывать 40 сообщений этой темы на одной странице