Здравствуйте! Помогите вылечить сервер!
Троян отключил антивирусы, блокирует запуск adwcleaner и других утилит.
Сделал лог автозагрузки с помощью Universal Virus Sniffer (UVS)
Здравствуйте! Помогите вылечить сервер!
Троян отключил антивирусы, блокирует запуск adwcleaner и других утилит.
Сделал лог автозагрузки с помощью Universal Virus Sniffer (UVS)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) neo2021, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Почему не Автологером по правилам?Сообщение от neo2021
запуск автологера блокируется трояном - ошибка при распаковке (отказано в доступе)
Качаете его по первой ссылке, не с зеркала?
качаю по первой ссылке и скачиваю без проблем. при попытке запуска блокирует создание файла
rootkit.avzБлокировка.jpg
По ссылке, которую я дал, должен скачаться архив с именем Autologger-test.zip
По-моему, у вас Autologger.zip, верно?
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c icsuspend zoo %SystemRoot%\BITLOCKER.EXE delall %SystemRoot%\BITLOCKER.EXE zoo %SystemRoot%\SYSWOW64\RADIANCE\ALPHA\SERVICE.EXE delall %SystemRoot%\SYSWOW64\RADIANCE\ALPHA\SERVICE.EXE zoo %SystemRoot%\SYSWOW64\RADIANCE\ALPHA\MSVCR100.DLL delall %SystemRoot%\SYSWOW64\RADIANCE\ALPHA\MSVCR100.DLL zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE deldir %SystemRoot%\SYSWOW64\RADIANCE czoo apply deltmp
Перезагрузите сервер вручную.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Последний раз редактировалось Vvvyg; 04.02.2021 в 18:07.
WBR,
Vadim
извиняюсь. был невнимателен. сделал логи
neo2021
Давайте уж сразу через UVS лечить, больше надежды на успех, там серьёзная самозащита у зловреда.
Скрипт дополнен, выполняйте.
Последний раз редактировалось Vvvyg; 04.02.2021 в 18:08.
WBR,
Vadim
скрипт выполнил. файл в карантин отправил. логи заархивировал и прикрепил.
Сделайте новый полный образ автозапуска, только пробуйте запустить UVS под LocalSystem, а не под текущим пользователем. Загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
WBR,
Vadim
сделал под LocalSystem
ссылка
https://fex.net/uk/s/tcrxrtl
Выполняйте скрипт от имени системы:И сразу перезагрузка.Код:;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c icsuspend zoo %SystemRoot%\SYSWOW64\RADIANCE\OMEGA\SERVICE.EXE delall %SystemRoot%\SYSWOW64\RADIANCE\OMEGA\SERVICE.EXE zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE delref OMEGA\SERVICE.EXE deldir %SystemRoot%\SYSWOW64\RADIANCE apply czoo
ZOO_ если не пустой, загрузите по ссылке "Прислать запрошенный карантин".
Лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите.
Сделайте проверку и лечение с помощью KVRT. Прикрепите упакованные в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT_Data.
WBR,
Vadim
каратин загрузил. лог выполнения скрипта в папке отсутствует ...
загрузку kvrt блокирует. если записать файл с другим названием, то при запуске все равно ошибка
Если и из безопасного режима не запустится - пробуйте тогда с лечащего диска - Kaspersky Rescue Disk 18, только сделайте его на заведомо чистом компьютере.
Трудновыводимая гадость
Потом такой лог сделайте.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 7
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \bitlocker.exe._2894c738e1d81bfb1ed5dd7a7029cc63c1 93a51f - UDS=
:DangerousObject.Multi.Generic ( AVAST4: Win64:Malware-gen )
Уважаемый(ая) neo2021, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
