-
Junior Member
- Вес репутации
- 21
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\igfxTray.exe
File: C:\Windows\SysWOW64\winver.exe
File: C:\Windows\system32\User32.dll
Zip: C:\Windows\system32\User32.dll
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
Task: {4AE0B88D-6476-45F9-BB38-E5ACDD7CC5DC} - \Mysa1 -> No File <==== ATTENTION
Task: {64A248A7-CA28-485D-BD7F-CB9008FF83A1} - \{2E0DB0A3-D0F1-47A2-A941-6C6D4006D48F} -> No File <==== ATTENTION
Task: {82144666-BF86-472B-A213-29211C1EDEB4} - \ok -> No File <==== ATTENTION
Task: {911511CE-7C34-4F5F-9F82-B1B929D5E892} - \Mysa -> No File <==== ATTENTION
Task: {9329229D-1B54-4A2F-83EC-10703637008D} - \Mysa2 -> No File <==== ATTENTION
Task: {AE8F6986-7C3E-4C5C-8D22-13F007549E95} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Task: {D8DA168A-5AB8-41ED-97B6-179A660A707E} - \Mysa3 -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms7DB53800App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms7DB53800App => ""="Service"
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Карантин 181028_202417_28.10.2018_23.22.25_5bd61af119afa.zi p
Лог в прил.
-
Выполните пожалуйста полную проверку на вирусы вашего ПК и сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Хронология
28.10.2018 23.28.04 Заблокирован опасный веб-адрес ca.fq520000.com:443/123.exe
29.10.2018 00.01.39 Обнаружен объект (файл) C:\Windows\mssecsvc.exe
29.10.2018 00.14.51 Обнаружен объект (файл) C:\Windows\mssecsvr.exe
Сейчас MEM:Trojan.Win32.SEPEH.gen
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Да. Только что нашел.
- - - - -Добавлено - - - - -
Стучаться на адрес начал сразу после скрипта в фарбаре.
И после каскад обнаружений.
-
Соберите пожалуйста новый лог uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Итог проверки:
Trojan.Win32.EquationDrug.gen
Trojan.Win32.SEPEH.gen
Trojan.Win64.EquationDrug.gen
Rootkit.Win64.EquationDrug.a
Все в системной памяти.
- - - - -Добавлено - - - - -
add
Последний раз редактировалось vlad.sau; 29.10.2018 в 05:42.
-
Сообщите пожалуйста у вас прямой интернет или через маршрутизатор(роутер)?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
-
Видимо ваш модем настроен как мост(bridge) и ваш ПК открыт и из-за уязвимости SMB на Ваш ПК проникает вредоносное ПО.
Утчоните пожалуйста у Вас Windows Firewall включен?
Вам необходимо установить обновления для Windows 7 x64 закрывающие уязвимость SMB.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Брандмауэр отключен.
- - - - -Добавлено - - - - -
Активировать не удается: Код ошибки 0x80070422
-
Тогда для начало установить обновление закрывающее уязвимость.
- - - - -Добавлено - - - - -
Уточните пожалуйста, какие-то ограничения в локальной политике устанавливали?
Код:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Последний раз редактировалось vlad.sau; 29.10.2018 в 05:42.
-
Покажите пожалуйста результат следующей команды в командной строке(cmd.exe):
Код:
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\s er
vices\MpsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Start REG_DWORD 0x4
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobal Privilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Security
Последний раз редактировалось vlad.sau; 29.10.2018 в 05:42.
-
Выполните следующие команды в командой строке (cmd.exe):
Код:
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start /t REG_DWORD /d 0x2
Net Start MpsSvc
После этого попробуйте включить Windows Firewall
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Не получается. Код ошибки прежний.
- - - - -Добавлено - - - - -
Установил kb4012212 Security Only[1].
- - - - -Добавлено - - - - -
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\s e
rvices\MpsSvc" /v Start
Удалить параметр реестра Start без возможности восстановления (Y - да/N - нет)?
y
Операция успешно завершена.
C:\Users\Пользователь>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\s ervi
ces\MpsSvc" /v Start /t REG_DWORD /d 0x2
Операция успешно завершена.
C:\Users\Пользователь>Net Start MpsSvc
Системная ошибка 1058.
Указанная служба не может быть запущена, поскольку она отключена или все связанн
ые с ней устройства отключены.
Последний раз редактировалось vlad.sau; 29.10.2018 в 02:27.
-
Попробуйте перегрузить ПК. Также сообщите если вы установили обновления для Windows 7 X64:
KB4012212
KB4012215
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-