Вирус запускает выключенный брандмауер виндовс и создает правило блокировки вход соединений по 445 порту. В планировщике создается три задачи с именем Mysa. Шары блокируются. После очистки автозапуска, планировшика, брандмаеа - все работает. Через пару часов все опять восстанавливается и сеть блокируется.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kent8, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Первым делом устраняйте уязвимость, ту самую, которую использует нашумевший WannaCry: MS17-010: Описание обновления безопасности для Windows SMB Server, причём на всех компьютерах в сети.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\windows\debug\item.dat', ''); DeleteFile('C:\ProgramData\AlterGeo\Update', '32'); DeleteFileMask('c:\programdata\altergeo', '*', true); DeleteDirectory('c:\programdata\altergeo'); ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qcwmcvslbpxapludmk', 'command'); RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'AlterGeoUpdater'); RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'AlterGeoUpdater'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O4 - MSConfig\startupreg: [LogMeIn Hamachi Ui] C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe --auto-start (file missing) (HKLM) (2013/11/29) O4 - MSConfig\startupreg: [qcwmcvslbpxapludmk] C:\Users\836D~1\AppData\Local\Temp\ocyqidcxpfpuljufqqea.exe (file missing) (HKLM) (2013/11/29) O4 - MSConfig\startupreg: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (file missing) (HKCU) (2013/11/29) O4 - MSConfig\startupreg: [symwgtkxhpro] bojarljdujswmjtdnmz.exe (file missing) (HKLM) (2013/11/29) O4 - MSConfig\startupreg: [vevivlfvityykdj] akcqevqhvhnobvcj.exe (file missing) (HKCU) (2013/11/29)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сделал
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:Сохраните (Ctrl+S) и закройте.Код:CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3a929285-8042-4f72-bbc4-baedff1dd51b} <======= ATTENTION (Restriction - IP) SearchScopes: HKU\S-1-5-21-482666876-3166865962-1960997493-500 -> {A323B3C3-BA9C-4684-A195-B43C23E17F11} URL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=ie8 CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-06-27] CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\odkmedfomghphdnmmemhkpoanggcfbbe [2017-01-23] CHR HKLM\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\S-1-5-21-482666876-3166865962-1960997493-500: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] S4 LMIGuardianSvc; "C:\Program Files\LogMeIn Hamachi\LMIGuardianSvc.exe" [X] 2017-05-07 03:13 - 2017-05-07 03:13 - 00000000 _____ C:\Windows\system32\safeWin.exe Shortcut: C:\Users\Администратор\Desktop\Сканировать в.lnk -> C:\Program Files\HP\HP LaserJet M1120 MFP\Scan To\hppscan0.exe (No File) <===== Cyrillic Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Mail.Ru Агент в двух экземплярах, расширения, стартовые и поиск от Mail.Ru сами устанавливали?
WBR,
Vadim
Сделал. Пока все хорошо. Сеть больше не блокируется. Денек посмотрим..Спасибо.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Файл этот прикрепите к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Сделал.......Рано радовался.....Опять в планировщике Mysa1, Mysa2, Брандмауер включен и добавлены правила для входяших Deny TCP 445
PS В папке c:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5\
есть файл OK.txt приложил....
Последний раз редактировалось kent8; 01.06.2017 в 03:30.
Это сделайте обязательно. И остальные уязвимости из avz_log.txt крайне желательно устранить.Поиск критических уязвимостей
UAC (контроль учётных записей) отключён.
http://windows.microsoft.com/ru-ru/w...control-on-off
Другие компьютеры непропатченные по MS17-010 в локальной сети есть? Пароль администратора поменяйте, если нет - установите.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Все сделал
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c deltmp ;---------command-block--------- delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL delref %SystemRoot%\DEBUG\ITEM.DAT delref S.DAT delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] regt 25 apply restart
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Если после этого скрипта проблема всплывёт - значит, не всё пропатчили.
Последний раз редактировалось Vvvyg; 01.06.2017 в 20:53.
WBR,
Vadim
Сделал Подождем денек....
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) kent8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
