массовое заражение win 2008 r2 и win7 .спарадическая перезагрузка, нет доступа к общим папкам

[anartion]

Доброе времени суток.
Вчера (как раз как я ушел в отпуск ...) хватанула моя фирма вирус.
Перестал работать ms exchane по rpc. пару десятков компов самопроизвольно перезагрузились.
Зараженные компы лезут с дикой скоростью в инет по 445 порту на рандомные ip интернета.
На зараженных компах есть левая политика ipsec с именем qianye.
Сервера регулярно падают в bsod с разными кодами.
Через защиту системы увидел, что на последней точке восстановления на зараженных компах w7 есть левые драйвера.
Выручайте друзья.
Прилагаю логи с одного более менее стабильного сервака.

[Info_bot]

Уважаемый(ая) anartion, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/12/08) - {0ef844dd-16e3-49dc-ab47-e7c94d07f6ba} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[anartion]

строки hijackthisом пофиксил...
avz не отработал... хотя я дал ему инет...пинги ходят ...инета нет.
Когда дал инет на пк, словил закрытое сообщение в командной строке (фото)

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Folder: C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2020-12-07 12:42 - 2020-12-07 12:42 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
File: C:\ProgramData\temp1.exe
2018-11-17 19:05 - 2018-12-06 23:23 - 000006873 _____ () C:\ProgramData\temp1.exe
2020-12-09 14:57 - 2020-12-09 14:57 - 000272488 _____ C:\Windows\Minidump\120920-22573-01.dmp
2020-12-08 20:12 - 2020-12-08 20:12 - 000272488 _____ C:\Windows\Minidump\120820-22011-01.dmp
2020-12-07 22:39 - 2020-12-07 22:39 - 000272488 _____ C:\Windows\Minidump\120720-22432-01.dmp
2020-12-07 22:29 - 2020-12-07 22:29 - 000272488 _____ C:\Windows\Minidump\120720-23618-01.dmp
2020-12-07 12:29 - 2020-12-07 12:29 - 000272488 _____ C:\Windows\Minidump\120720-23103-01.dmp
2020-12-07 12:28 - 2020-12-09 14:57 - 568666220 _____ C:\Windows\MEMORY.DMP
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Ставьте хотя бы KB4012212 на все компьютеры (лучше, конечно, по полной обновить), иначе не избавитесь от проблем.

[anartion]

Готово. Спасибо, что помогаете мне.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[anartion]

Готово.

[Vvvyg]

Сделайте проверку с помощью KVRT. Прикрепите упакованным в архив содержимое папки C:\KVRT_Data.
И обновления ставьте, боремся с последствиями.

[anartion]

Обновления ставлю.
Репорт в атаче.

[Vvvyg]

После обновлений - ещё проверку KVRT сделайте и результат выложите.

[anartion]

Обновил.
Запустил 2 раза KVRT

[Vvvyg]

Ещё раз лог Farbar Recovery Scan Tool сделайте.

Обновления все установлены? Доступ в интернет есть? Если да, скрипт из сообщения #3 выполните.

[anartion]

Добрый день. FRST сделал. Пока волнует:

==================== Safe Mode (Whitelisted) ==================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Min imal\Ms4BE33FA0App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Net work\Ms4BE33FA0App => ""="Service"

Инета нет. Браузер сразу 404. Хотя telnetом 443 и 80 открываются. Это только на этой машине. На других всё норм.
Да и бог с ним. Я решил пустить эту машину по нож.
Метода лечения теперь понятна. KVRT решает + обновы.
Спасибо Вадим.

[Vvvyg]

Это остатки от драйверов KVRT и того, что он вылечил. Зачистим, выделите код:

Код:

Start::
NETSVC: Ms4BE33FA0App -> no filepath.
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms4BE33FA0App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\62963904.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_4BE33FA0.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms4BE33FA0App => ""="Service"
AlternateDataStreams: C:\ProgramData\TEMP:AE7261F6 [362]
FirewallRules: [{F781119C-0DF4-444B-8793-094C0F01A35B}] => (Allow) C:\Program Files\Microsoft SQL Server\MSSQL10.RTC\MSSQL\Binn\sqlservr.exe => No File
FirewallRules: [{7E9317AD-0C84-4173-8CB7-7FE8E2C5A4E2}] => (Block) LPort=445
End::

И Fix в FRST. Новый Fixlog.txt прикрепите.