Здравствуйте! Прошу помочь в нахождении и удаления вирусов и их остатков. Подозрения были на вирусы. Проверил антивирусной утилитой. Нашел несколько штук...
Здравствуйте! Прошу помочь в нахождении и удаления вирусов и их остатков. Подозрения были на вирусы. Проверил антивирусной утилитой. Нашел несколько штук...
Уважаемый(ая) Dreiko, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe'); TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe'); TerminateProcessByName('c:\windows\fonts\web\gecko\plugin-container.exe'); TerminateProcessByName('c:\windows\fonts\web\gecko\securesurf.browser.client.exe'); TerminateProcessByName('c:\windows\fonts\web\taskhost.exe'); TerminateProcessByName('c:\windows\fonts\web\webisida.browser.exe'); TerminateProcessByName('c:\windows\fonts\web\winlogon.exe'); TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe'); TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe'); TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe'); TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe'); TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe'); StopService('spoolsrvrs'); StopService('TrkWk'); StopService('werlsfks'); QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', ''); QuarantineFile('c:\windows\fonts\web\gecko\plugin-container.exe', ''); QuarantineFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', ''); QuarantineFile('c:\windows\fonts\web\taskhost.exe', ''); QuarantineFile('c:\windows\fonts\web\webisida.browser.exe', ''); QuarantineFile('c:\windows\fonts\web\winlogon.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', ''); QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', ''); QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', ''); QuarantineFileF('c:\programdata\microsoft\drm\khokaboda', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\Bzaya.exe', ''); DeleteFile('C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe', ''); DeleteFile('C:\Windows\Fonts\web\gecko\Capinet.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\freebl3.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\lgpllibs.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\libEGL.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\libGLESv2.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\MemIPC.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\mozavcodec.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\mozavutil.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\mozglue.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\nss3.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\nssckbi.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\nssdbm3.dll', ''); DeleteFile('c:\windows\fonts\web\gecko\plugin-container.exe', ''); DeleteFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe', ''); DeleteFile('C:\Windows\Fonts\web\gecko\SecureSurf.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\softokn3.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\xul.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.dll', ''); DeleteFile('C:\Windows\Fonts\web\gecko\XulFx.Windows.Forms.dll', ''); DeleteFile('c:\windows\fonts\web\taskhost.exe', ''); DeleteFile('c:\windows\fonts\web\webisida.browser.exe', ''); DeleteFile('c:\windows\fonts\web\winlogon.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', ''); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe', ''); DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EntityFramework\NetLibrary" /F', 0, 15000, true); DeleteService('spoolsrvrs'); DeleteService('TrkWk'); DeleteService('werlsfks'); DeleteFileMask('c:\programdata\microsoft\drm\khokaboda', '*', true); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteDirectory('c:\programdata\microsoft\drm\khokaboda'); DeleteDirectory('c:\windows\inf\netlibrariestip'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Прикрепил. Также при перезагрузке или завершении работы сервера, система зависает на записи "завершение работы", приходится завершать физически (кнопкой). Не могу понять какой процесс не дает завершить работу...
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\SETH.EXE addsgn 9A24779A55024C720BD4C6A9A78812ED79AAFCF60A3E131085C3C5BCB883514C23B4DF947E55F5492B8084F7460649FA15DFE8725532F20C2D7707370446229B 12 TrojWare.Win32.CoinMiner.IEGT [Comodo] 7 chklst delvir deltmp delref %SystemDrive%\USERS\ASKY\SVCHOST.EXE delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\TEMP\2\9D00D37-6508138D-7AD7AF3D-B98852A\CF268F3F.SYS Exec wevtutil.exe epl System system.evtx Exec wevtutil.exe epl Application Application.evtx Exec wevtutil.exe epl Security Security.evtx Exec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=48m Events.7z *.evtx czoo apply
Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Прикрепил
Ссылка на Events https://yadi.sk/d/LC7bVGuwmpbe8g
Sbcntvf полностью обновлена?
Уведомление
Проведите фикс в FRST в безопасном режиме, может быть перезагрузка системы
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:Start:: S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X] SetDefaultFilePermissions: C:\Windows\SysWOW64\DWWIN.EXE SetDefaultFilePermissions: C:\Windows\SysWOW64\eventvwr.msc SetDefaultFilePermissions: C:\Windows\SysWOW64\WerFault.exe SetDefaultFilePermissions: C:\Windows\SysWOW64\wermgr.exe File: C:\Windows\SysWOW64\DWWIN.EXE File: C:\Windows\SysWOW64\eventvwr.msc File: C:\Windows\SysWOW64\WerFault.exe File: C:\Windows\SysWOW64\wermgr.exe MSCONFIG\startupreg: Acronis Scheduler2 Service => "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" MSCONFIG\startupreg: AcronisTibMounterMonitor => C:\Program Files (x86)\Common Files\Acronis\TibMounter\tib_mounter_monitor.exe MSCONFIG\startupreg: Veeam.EndPoint.Tray.exe => C:\Program Files\Veeam\Endpoint Backup\Veeam.EndPoint.Tray.exe -NoControlPanel -CheckNumberOfRunningAgents FirewallRules: [{328D5554-A789-4E90-AB52-D2760E31A7E9}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File FirewallRules: [{4FE2E364-B667-4B2D-BE91-7CB9267DFBAF}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File FirewallRules: [{60444B96-4740-42E4-B234-FDDCD0E8505F}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File FirewallRules: [{6F6CB340-12D9-4ECA-824B-658B7F4F855A}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File FirewallRules: [{4AC9C88E-30F4-4DB1-A854-F6E80A91866F}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File FirewallRules: [{D35B3C08-2EBB-43D7-9151-898FEC9674FD}] => (Allow) C:\Program Files\Acronis\ServiceManager\asm.exe No File FirewallRules: [{A7CF41FB-8888-4AD4-AEB7-EC90857BC0C7}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File FirewallRules: [{EC84BBB5-A06B-4A1D-B336-848425D96C81}] => (Allow) C:\Program Files\Acronis\MonitoringServer\acronis_monitoring_service.exe No File FirewallRules: [{E9A32958-FB69-46A3-A77D-D1948E8F51E1}] => (Allow) C:\Program Files\Acronis\ZmqGw\zmqgw.exe No File FirewallRules: [{45F43A78-EBE0-44AC-8625-651530ECE6B9}] => (Allow) C:\Program Files\Acronis\ApiGateway\api_gateway.exe No File FirewallRules: [{F2A96842-6F65-4DBC-9D69-8DA00D009A46}] => (Allow) C:\ProgramData\Microsoft\DRM\Khokaboda\NetFramework.exe No File End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите систему, если это не сделал FRST.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.
Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Сообщите, что с проблемами.
WBR,
Vadim
Хочу уточнить, как она(система) восстановит файлы, если диска нет? Диск необходим или желателен? Флешка загрузочная подойдет?Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Команда sfc /scannow проверит все защищенные системные файлы и заменит поврежденные файлы их кэшированной копией, расположенной в сжатой папке по адресу %WinDir%\System32\dllcache.
WBR,
Vadim
Видать не зря были предположения на вирусы... Взломали сервер по RDP. Пароль вовремя не сменил. Просьба начать всё сначала.
Это сервер №3. Тема уже есть на Сервер№2.
Сервер№1 - не могу запустить Autologger, выдает ошибку по созданию файла AVZ.
Сервер№3 изначально был взломан по RDP 05.09.2019 в 0.04 ip:23.129.64.204 (скорее всего VPN)
Взломали сервер 1С, зашифровали всё досконально. А с него все сетевые папки.
Наперед спрошу можно ли восстановить работоспособность сервера 1С и MySQL сервера? Базу из beckup восстановлю. С нуля неохота всё восстанавливать, хотя может это и к лучшему...
Можно ли восстановить 1С и MySQL - это там на месте виднее.
Подозреваю, тут проще систему переустановить. И не забыть потом уязвимости закрыть, защититься от брутфорса, проверить конфиг и уязвимости Mikrotik...
WBR,
Vadim
Принято. Тогда эту тему можно закрывать
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 17
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\programdata\microsoft\drm\khokaboda\bzaya.exe - not-a-v=
irus:HEUR:RiskTool.Win32.BitCoinMiner.gen ( AVAST4: Win32:CryptoMi=
ner-L [Trj] )- c:\programdata\microsoft\drm\khokaboda\netframewor k.exe - =
HEUR:Trojan.MSIL.Miner.gen ( AVAST4: Win64:Trojan-gen )- c:\windows\fonts\web\taskhost.exe - UDS:DangerousObject.Mul=
ti.Generic- c:\windows\fonts\web\winlogon.exe - Trojan-Spy.Win32.Delf.a=
vga ( AVAST4: Win32:Malware-gen )- c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\s sms.exe =
- Trojan.Win32.Agentb.bwzf- c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\ 5.0\spo=
olsv.exe - Trojan.Win32.Agentb.bwzg- c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\wa=
hiver.exe - not-a-virus:RiskTool.Win32.Agent.aouh- c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\wa=
sp.exe - not-a-virus:RiskTool.Win32.Agent.amrp- c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\wa=
spwing.exe - not-a-virus:RiskTool.Win32.Agent.amrm
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
- =CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 !
Уважаемый(ая) Dreiko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.