Неизвестный процесс забивает весь трафик, периодически создаются непонятные локальные учетные записи. Не один антивирус ничего не находит.
Неизвестный процесс забивает весь трафик, периодически создаются непонятные локальные учетные записи. Не один антивирус ничего не находит.
Уважаемый(ая) serhis, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin SearchRootkit(true, true); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', ''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', ''); QuarantineFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', ''); QuarantineFile('C:\ProgramData\systemSSE2\st.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); QuarantineFile('C:\Users\bs\AppData\Roaming\postgre.exe', ''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32'); DeleteFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', '32'); DeleteFile('C:\ProgramData\systemSSE2\st.exe', '32'); DeleteFile('C:\Windows\svchost.exe', '32'); DeleteFile('C:\Users\bs\AppData\Roaming\postgre.exe', '32'); DeleteService('spoolsrvrs'); DeleteService('werlsfks'); DeleteService('WPFFontCache_v0400'); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteDirectory('c:\windows\inf\netlibrariestip'); DeleteDirectory('c:\windows\microsoft.net\framework'); ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Skype" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23556fb1360f366337f97c924e76ead3', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\st.exe', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Win Services ', 'command'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(9); ExecuteWizard('SCU', 2, 2, true); BC_Activate; end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Смените пароли учётных записей с правами администратора и правом входа по RDP.
Установите все обновления для системы, включая это.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Результат работы UVS.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTR.DLL addsgn A7679B1928664D070E3CBBB164C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B91EA53F03E16B46952C027D7EEC9257CAE67B9239426F7CB82273 24 Adware.Inject.343552 [ViRobot] 6 zoo %SystemRoot%\ADFS\CTFMON.EXE addsgn 9AEDB7C555824D720BD46D72733AAF1C84EDC59B8F5DEC3D2EA2917AC74108608D0BABE9424251CEC82D7D59D349A0F07066E21B7C6F8BBA29A63D2B76D3AE9E 8 Backdoor/Huigezi.jul [Jiangmin] 7 chklst delvir dirzooex %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER deldir %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES deldir %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER czoo delref %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES\EXPLORER.EXE delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\SECURESURF.TESTER.EXE delref %SystemDrive%\USERS\ASIRIK\APPDATA\ROAMING\SVCHOST.EXE delref %SystemDrive%\USERS\AZAVRICHKO\APPDATA\ROAMING\SVCHOST.EXE delref %SystemDrive%\USERS\VBEREZA\APPDATA\ROAMING\SVCHOST.EXE delref %SystemDrive%\USERS\BS\APPDATA\ROAMING\SVCHOST.EXE delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\WEBISIDA.BROWSER.EXE delref %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTRX64.DLL delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
Перезагрузите сразу же сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сделайте новый полный образ автозапуска uVS, если не поместится во вложения - загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку
WBR,
Vadim
Лог и образ
Ваш файл? Если нет - удалите.Код:C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\SYS.EXE
Заразу зачистили. Закройте на mikrotik доступ по RDP с левых адресов.
Обновления все установили?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
WBR,
Vadim
все обновления установлены, рядом с файлом sys.exe была обнаружена папка "rdp сканер портов", тоже удалена.
Последний раз редактировалось serhis; 04.10.2017 в 14:55.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan ToolКод:CreateRestorePoint: 2017-08-01 11:18 - 2017-08-07 08:11 - 000000076 _____ C:\Users\azavrichko\AppData\Roaming\svchost.exe.tmp 2017-07-20 10:02 - 2017-08-22 08:27 - 000000078 _____ C:\Users\serhis\AppData\Roaming\svchost.exe.tmp Folder: C:\Windows\ADFS Task: {737B2E9B-EC97-4611-A6AC-A56A76E54A02} - \Skype -> No File <==== ATTENTION MSCONFIG\startupfolder: C:^Users^serhis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^23556fb1360f366337f97c924e76ead3.exe => C:\Windows\pss\23556fb1360f366337f97c924e76ead3.exe.Startup MSCONFIG\startupreg: 23556fb1360f366337f97c924e76ead3 => MSCONFIG\startupreg: st.exe => MSCONFIG\startupreg: svchost => MSCONFIG\startupreg: Win Services => FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Последний раз редактировалось Vvvyg; 04.10.2017 в 21:07.
WBR,
Vadim
Лог
Удалите папку C:\Windows\ADFS
И всё на этом, если проблема решена.
WBR,
Vadim
Спасибо большое. Посмотрим как себя будет вести)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- \mscstr.dll._3285fde39ac6c34f595f13593fb72e8d60c0d 344 - HEUR:HackTool.Win32.Inject.heur
Уважаемый(ая) serhis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.