Показано с 1 по 12 из 12.

Проверка на вирусы [not-a-virus:RiskTool.Win32.Agent.aouh, not-a-virus:RiskTool.Win32.Agen= t.amrm] (заявка № 223418)

  1. #1
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17

    Проверка на вирусы [not-a-virus:RiskTool.Win32.Agent.aouh, not-a-virus:RiskTool.Win32.Agen= t.amrm]

    Здравствуйте! Прошу помочь в нахождении и удаления вирусов и их остатков. Подозрения были на вирусы. Проверил антивирусной утилитой. Нашел несколько штук...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    354
    Уважаемый(ая) Dreiko, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,332
    Вес репутации
    923
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe');
     TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe');
     TerminateProcessByName('c:\windows\fonts\web\gecko\plugin-container.exe');
     TerminateProcessByName('c:\windows\fonts\web\gecko\securesurf.browser.client.exe');
     TerminateProcessByName('c:\windows\fonts\web\taskhost.exe');
     TerminateProcessByName('c:\windows\fonts\web\webisida.browser.exe');
     TerminateProcessByName('c:\windows\fonts\web\winlogon.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
     StopService('spoolsrvrs');
     StopService('TrkWk');
     StopService('werlsfks');
     QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', '');
     QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', '');
     QuarantineFile('c:\windows\fonts\web\gecko\plugin-container.exe', '');
     QuarantineFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', '');
     QuarantineFile('c:\windows\fonts\web\taskhost.exe', '');
     QuarantineFile('c:\windows\fonts\web\webisida.browser.exe', '');
     QuarantineFile('c:\windows\fonts\web\winlogon.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
     QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
     QuarantineFileF('c:\programdata\microsoft\drm\khokaboda', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', '');
     DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\Capinet.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\freebl3.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\lgpllibs.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\libEGL.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\libGLESv2.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\MemIPC.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\mozavcodec.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\mozavutil.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\mozglue.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\nss3.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\nssckbi.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\nssdbm3.dll', '');
     DeleteFile('c:\windows\fonts\web\gecko\plugin-container.exe', '');
     DeleteFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\SecureSurf.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\softokn3.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\xul.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.dll', '');
     DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.Windows.Forms.dll', '');
     DeleteFile('c:\windows\fonts\web\taskhost.exe', '');
     DeleteFile('c:\windows\fonts\web\webisida.browser.exe', '');
     DeleteFile('c:\windows\fonts\web\winlogon.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
     DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', '');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EntityFramework\NetLibrary" /F', 0, 15000, true);
     DeleteService('spoolsrvrs');
     DeleteService('TrkWk');
     DeleteService('werlsfks');
     DeleteFileMask('c:\programdata\microsoft\drm\khokaboda', '*', true);
     DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
     DeleteDirectory('c:\programdata\microsoft\drm\khokaboda');
     DeleteDirectory('c:\windows\inf\netlibrariestip');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    end.
    Перезагрузите сервер.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17
    Прикрепил. Также при перезагрузке или завершении работы сервера, система зависает на записи "завершение работы", приходится завершать физически (кнопкой). Не могу понять какой процесс не дает завершить работу...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,332
    Вес репутации
    923
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    zoo %SystemRoot%\SYSWOW64\SETH.EXE
    addsgn 9A24779A55024C720BD4C6A9A78812ED79AAFCF60A3E131085C3C5BCB883514C23B4DF947E55F5492B8084F7460649FA15DFE8725532F20C2D7707370446229B 12 TrojWare.Win32.CoinMiner.IEGT [Comodo] 7
    chklst
    delvir
    deltmp
    delref %SystemDrive%\USERS\ASKY\SVCHOST.EXE
    delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
    delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\TEMP\2\9D00D37-6508138D-7AD7AF3D-B98852A\CF268F3F.SYS
    Exec wevtutil.exe epl System system.evtx
    Exec wevtutil.exe epl Application Application.evtx
    Exec wevtutil.exe epl Security Security.evtx
    Exec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=48m Events.7z *.evtx
    czoo
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17
    Прикрепил
    Ссылка на Events https://yadi.sk/d/LC7bVGuwmpbe8g
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,332
    Вес репутации
    923
    Sbcntvf полностью обновлена?

    information

    Уведомление

    Проведите фикс в FRST в безопасном режиме, может быть перезагрузка системы


    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    Start::
    S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
    SetDefaultFilePermissions: C:\Windows\SysWOW64\DWWIN.EXE
    SetDefaultFilePermissions: C:\Windows\SysWOW64\eventvwr.msc
    SetDefaultFilePermissions: C:\Windows\SysWOW64\WerFault.exe
    SetDefaultFilePermissions: C:\Windows\SysWOW64\wermgr.exe
    File: C:\Windows\SysWOW64\DWWIN.EXE
    File: C:\Windows\SysWOW64\eventvwr.msc
    File: C:\Windows\SysWOW64\WerFault.exe
    File: C:\Windows\SysWOW64\wermgr.exe
    MSCONFIG\startupreg: Acronis Scheduler2 Service => "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe"
    MSCONFIG\startupreg: AcronisTibMounterMonitor => C:\Program Files (x86)\Common Files\Acronis\TibMounter\tib_mounter_monitor.exe
    MSCONFIG\startupreg: Veeam.EndPoint.Tray.exe => C:\Program Files\Veeam\Endpoint Backup\Veeam.EndPoint.Tray.exe -NoControlPanel -CheckNumberOfRunningAgents
    FirewallRules: [{328D5554-A789-4E90-AB52-D2760E31A7E9}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File
    FirewallRules: [{4FE2E364-B667-4B2D-BE91-7CB9267DFBAF}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
    FirewallRules: [{60444B96-4740-42E4-B234-FDDCD0E8505F}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
    FirewallRules: [{6F6CB340-12D9-4ECA-824B-658B7F4F855A}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File
    FirewallRules: [{4AC9C88E-30F4-4DB1-A854-F6E80A91866F}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File
    FirewallRules: [{D35B3C08-2EBB-43D7-9151-898FEC9674FD}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File
    FirewallRules: [{A7CF41FB-8888-4AD4-AEB7-EC90857BC0C7}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
    FirewallRules: [{EC84BBB5-A06B-4A1D-B336-848425D96C81}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
    FirewallRules: [{E9A32958-FB69-46A3-A77D-D1948E8F51E1}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File
    FirewallRules: [{45F43A78-EBE0-44AC-8625-651530ECE6B9}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File
    FirewallRules: [{F2A96842-6F65-4DBC-9D69-8DA00D009A46}] => (Allow) C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe No File
    End::
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Перезагрузите систему, если это не сделал FRST.

    Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

    Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

    Введите sfc /scannow и нажмите Enter.
    Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17
    Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
    Хочу уточнить, как она(система) восстановит файлы, если диска нет? Диск необходим или желателен? Флешка загрузочная подойдет?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,332
    Вес репутации
    923
    Команда sfc /scannow проверит все защищенные системные файлы и заменит поврежденные файлы их кэшированной копией, расположенной в сжатой папке по адресу %WinDir%\System32\dllcache.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17
    Видать не зря были предположения на вирусы... Взломали сервер по RDP. Пароль вовремя не сменил. Просьба начать всё сначала.
    Это сервер №3. Тема уже есть на Сервер№2.
    Сервер№1 - не могу запустить Autologger, выдает ошибку по созданию файла AVZ.
    Сервер№3 изначально был взломан по RDP 05.09.2019 в 0.04 ip:23.129.64.204 (скорее всего VPN)
    Взломали сервер 1С, зашифровали всё досконально. А с него все сетевые папки.
    Наперед спрошу можно ли восстановить работоспособность сервера 1С и MySQL сервера? Базу из beckup восстановлю. С нуля неохота всё восстанавливать, хотя может это и к лучшему...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,332
    Вес репутации
    923
    Можно ли восстановить 1С и MySQL - это там на месте виднее.
    Подозреваю, тут проще систему переустановить. И не забыть потом уязвимости закрыть, защититься от брутфорса, проверить конфиг и уязвимости Mikrotik...
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    17
    Принято. Тогда эту тему можно закрывать

  • Уважаемый(ая) Dreiko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 21.07.2017, 13:02
    2. Вирусы, вирусы, вирусы! [Hoax.Win32.ArchSMS.msvl ]
      От robert93 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 25.02.2013, 20:17
    3. Вирусы... Вирусы... Вирусы
      От visahouse в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 08.10.2009, 22:54
    4. Проверка жесткого диска на вирусы
      От sdp в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.03.2007, 02:40
    5. Ответов: 5
      Последнее сообщение: 18.05.2006, 11:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00719 seconds with 18 queries