win 2008 забит трафик. [HEUR:HackTool.Win32.Inject.heur ]

[serhis]

Неизвестный процесс забивает весь трафик, периодически создаются непонятные локальные учетные записи. Не один антивирус ничего не находит.

[Info_bot]

Уважаемый(ая) serhis, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', '');
 QuarantineFile('C:\ProgramData\systemSSE2\st.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Users\bs\AppData\Roaming\postgre.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
 DeleteFile('C:\Users\System32.DIONIS\AppData\Roaming\svchost.exe', '32');
 DeleteFile('C:\ProgramData\systemSSE2\st.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\bs\AppData\Roaming\postgre.exe', '32');
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
 DeleteService('WPFFontCache_v0400');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 DeleteDirectory('c:\windows\microsoft.net\framework');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Skype" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23556fb1360f366337f97c924e76ead3', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\st.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Win Services ', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
end.

Перезагрузите сервер.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Смените пароли учётных записей с правами администратора и правом входа по RDP.
Установите все обновления для системы, включая это.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[serhis]

Результат работы UVS.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTR.DLL
addsgn A7679B1928664D070E3CBBB164C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B91EA53F03E16B46952C027D7EEC9257CAE67B9239426F7CB82273 24 Adware.Inject.343552 [ViRobot] 6

zoo %SystemRoot%\ADFS\CTFMON.EXE
addsgn 9AEDB7C555824D720BD46D72733AAF1C84EDC59B8F5DEC3D2EA2917AC74108608D0BABE9424251CEC82D7D59D349A0F07066E21B7C6F8BBA29A63D2B76D3AE9E 8 Backdoor/Huigezi.jul [Jiangmin] 7

chklst
delvir

dirzooex %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES
dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER
deldir %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES
deldir %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER

czoo
delref %SystemDrive%\USERS\SYSTEM32\APPDATA\ROAMING\ROAMINGSERVICES\EXPLORER.EXE
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\SECURESURF.TESTER.EXE
delref %SystemDrive%\USERS\ASIRIK\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\AZAVRICHKO\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\VBEREZA\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\BS\APPDATA\ROAMING\SVCHOST.EXE
delref %SystemDrive%\USERS\SYSTEM32.DIONIS\APPDATA\LOCAL\WEBISIDA\WEBISIDA.BROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSDEFENDER\MSCSTRX64.DLL
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

Перезагрузите сразу же сервер.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, если не поместится во вложения - загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку

[serhis]

Лог и образ

[Vvvyg]

Код:

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\SYS.EXE

Ваш файл? Если нет - удалите.

Заразу зачистили. Закройте на mikrotik доступ по RDP с левых адресов.
Обновления все установили?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[serhis]

все обновления установлены, рядом с файлом sys.exe была обнаружена папка "rdp сканер портов", тоже удалена.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
2017-08-01 11:18 - 2017-08-07 08:11 - 000000076 _____ C:\Users\azavrichko\AppData\Roaming\svchost.exe.tmp
2017-07-20 10:02 - 2017-08-22 08:27 - 000000078 _____ C:\Users\serhis\AppData\Roaming\svchost.exe.tmp
Folder: C:\Windows\ADFS
Task: {737B2E9B-EC97-4611-A6AC-A56A76E54A02} - \Skype -> No File <==== ATTENTION
MSCONFIG\startupfolder: C:^Users^serhis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^23556fb1360f366337f97c924e76ead3.exe => C:\Windows\pss\23556fb1360f366337f97c924e76ead3.exe.Startup
MSCONFIG\startupreg: 23556fb1360f366337f97c924e76ead3 => 
MSCONFIG\startupreg: st.exe => 
MSCONFIG\startupreg: svchost => 
MSCONFIG\startupreg: Win Services  => 
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

[serhis]

Лог

[Vvvyg]

Удалите папку C:\Windows\ADFS
И всё на этом, если проблема решена.

[serhis]

Спасибо большое. Посмотрим как себя будет вести)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. \mscstr.dll._3285fde39ac6c34f595f13593fb72e8d60c0d 344 - HEUR:HackTool.Win32.Inject.heur