Добрый день.
Майнер самопроизвольно устанавливается в папку и тащит с собой
libcurl.dll
libeay32.dll
libwinpthread-1.dll
ssleay32.dll
zlib1.dll
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
Добрый день.
Майнер самопроизвольно устанавливается в папку и тащит с собой
libcurl.dll
libeay32.dll
libwinpthread-1.dll
ssleay32.dll
zlib1.dll
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
Уважаемый(ая) kondratevn, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\wmiApSvc.exe',''); TerminateProcessByName('C:\Users\svchost.exe'); QuarantineFile('C:\Users\svchost.exe',''); DeleteFile('C:\Users\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи выкладываю.
C:\Windows\system32\wmiApSvc.exe проверьте на https://virustotal.com и пришлите ссылку на результат проверки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Показ скрытых и системных файлов включите и увидите его
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
результаты virustotal
https://virustotal.com/ru/file/da376...is/1499005208/
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteService('wmiApSvc'); DeleteFile('C:\Windows\system32\wmiApSvc.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи во вложении. файл теперь по пути C:\Config.Msi
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin TerminateProcessByName('C:\Config.Msi\svchost.exe'); QuarantineFile('C:\Config.Msi\svchost.exe', ''); QuarantineFile('C:\Windows\System32\svchоst.exe', ''); DeleteFile('C:\Config.Msi\svchost.exe', '32'); DeleteFile('C:\Windows\System32\svchоst.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PLA\System\PLA Optimize" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
WBR,
Vadim
Добрый вечер.
карантин прикрепил.
отчет FRST прикладываю
Если ещё не устранили уязвимость, которую используют нашумевшие шифровальщики WannaCry и Petya - MS17-010: Описание обновления безопасности для Windows SMB Server срочно устанавливайте, причём на всех компьютерах в сети.
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:Сохраните (Ctrl+S) и закройте.Код:Task: {C6F26B5C-2CCC-4807-91EB-92611623492D} - \Microsoft\Windows\PLA\System\PLA Optimize11 -> No File <==== ATTENTION Task: {E6D0DE5A-DD23-448A-BB0F-CF6E3EF9B9E3} - \Microsoft\Windows\PLA\System\PLA Optimize1 -> No File <==== ATTENTION 2017-06-29 20:04 - 2017-06-29 20:04 - 01447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\libeay32.dll 2017-06-29 20:04 - 2017-06-29 20:04 - 00572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Users\libcurl.dll 2017-06-29 20:04 - 2017-06-29 20:04 - 00314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\ssleay32.dll 2017-06-29 20:04 - 2017-06-29 20:04 - 00089600 _____ C:\Users\zlib1.dll 2017-06-29 20:04 - 2017-06-29 20:04 - 00079637 _____ (MingW-W64 Project. All rights reserved.) C:\Users\libwinpthread-1.dll 2017-06-21 12:05 - 2017-06-21 22:38 - 648164115 _____ C:\Windows\MEMORY.DMP 2017-06-21 12:05 - 2017-06-21 12:05 - 00277400 _____ C:\Windows\Minidump\062117-5328-01.dmp
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сообщите, что с проблемой.
WBR,
Vadim
выполнил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
сделал
Завершите на сервере все сеансы пользователей, 1С, SQL, Mobile SMARTS сервер, сожалению, тут без вариантов будет автоматическая перезагрузка.
Или, если есть возможность, выполняйте из безопасного режима с поддержкой сети.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure sreg zoo %Sys32%\SACSVR.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4 zoo %SystemDrive%\USERS\SVCHOST.EXE addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SVCHOST.EXE chklst delvir deltmp apply areg
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Была подменена системная DLL, для её востановления выполните в UVS скрипт:Вас взламывают, видимо, всё же через RDP, хоть и порт нестандартный. Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем. Есть, кстати, хорошее правило - сразу после установки серверной ОС переименовывать администратора по умолчанию.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c sfc %Sys32%\SACSVR.DLL
Последний раз редактировалось Vvvyg; 14.07.2017 в 22:11.
WBR,
Vadim
Проблема решена.
не могу правда найти в папке uVS запрошенных Вами файлов.
Уважаемый(ая) kondratevn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.