Автоматически создаются блокировки портов 139 и 445

Stolyar · 10.03.2020, 17:27

Windows 7. В Брандмауэре автоматически создаются блокировки портов 139 и 445, а также в планировщице заданий создаются какие-то задания Mysa и OK. Удаляю их, после перезапуска они возвращаются. При этом не работают никакие сетевые ресурсы и т.д.

Что это за хрень такая зловредная? Посмотрите логи, пожалуйста.

Vvvyg · 10.03.2020, 23:00

На будущее: используйте актуальную версию UVS по ссылке из этой темы, у Вас образ сделан устаревшей.

Файл C:\CAT\CAT.EXE известен? Если нет, проверьте на virustotal.com и ссылку на результат сюда.

Выполните скрипт в uVS:

Код:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn A1BA20CF1DE779D7882251F9E9761245C175B47B0E12655A853CF57B509BA26AE34794EF3F71B8497BC80D7E0E9FB3B2F428563229D3B07965FE416B4C0F6BFA 16 Win64/CoinMiner.XB [ESET-NOD32] 7
chklst
delvir
delref HTTP://JS.FTP1202.SITE:280/V.SCT
regt 25
delref A.EXE
delall %SystemRoot%\DEBUG\ITEM.DAT
delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref S.RAR
delref S&AMP;C:\WINDOWS\UPDATE.EXE
delref HTTP://172.83.155.170:8170/S.XSL
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://103.106.250.161:8161/POWER.TXT')||POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://144.208.127.215:8215/POWER.TXT')||POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://172.83.155.170:8170/POWER.TXT')||POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://192.236.160.237:8237/POWER.TXT')||POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://WMI.1103BYE.XYZ:8080/POWER.TXT')||POWERSHELL.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\28.0.1500.9323\RESOURCES\TABLO\TABLEAU
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\32.0.1700.12508\RESOURCES\YA_TABLEAUDER\TABLEAUDER
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.7_0\__MSG_BRANDING_PRODUCT_NAME_NOM__
deltmp
delnfr
apply
restart

После перезагрузки проверьтесь KVRT, может быть буткит.

Сделайте лог Farbar Recovery Scan Tool.

Stolyar · 12.03.2020, 03:02

Файл C:\CAT\CAT.EXE вполне известен, даже известно его происхождение, и в принципе даже автор его тоже известен. Но на всякий случай проверил, единственное что выдало: SecureAge APEX - Malicious

В uVS этот скрипт выполнил.

Проверил KVRT, прошёл несколько раз, находил какие-то разные хрени, все их лечил или удалял.

Сделал логи FRST выкладываю.

Vvvyg · 12.03.2020, 07:53

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {702E2218-E19E-498E-9884-D16453E57400} - \oka -> No File <==== ATTENTION
Task: {C87366DD-3CCD-4178-A29A-1E87FB6CC005} - \{F2B809EC-5C2C-4E61-BF81-64EF831033D6} -> No File <==== ATTENTION
Task: {FAEF8350-9533-44CC-BEF1-3AA0E2CE2D58} - \{DF607842-D67F-4475-BAF2-5A45C3575D5A} -> No File <==== ATTENTION
Task: {0EC66334-CAF0-46BE-9857-7F281F3D64F3} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe [1660520 2020-03-05] (Avast Software s.r.o. -> Avast Software)
HKLM\SYSTEM\ControlSet001\Services\Ms0A0CDD69AppC => C:\windows\System32\Ms0A0CDD69App.dll <==== ATTENTION (Rootkit!/Locked Service)
C:\windows\System32\Ms0A0CDD69App.dll
NETSVC: Ms0A0CDD69App -> no filepath.
NETSVC: Ms0A0CDD69AppA -> no filepath.
NETSVC: Ms0A0CDD69AppB -> no filepath.
NETSVC: Ms0A0CDD69AppBak -> no filepath.
NETSVC: Ms0A0CDD69AppC -> no filepath.
U0 aswVmm; no ImagePath
C:\Program Files\Common Files\Avast Software
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
FirewallRules: [{E50734A7-A1B5-43A0-9C06-671C2860512D}] => (Allow) C:\Program Files (x86)\Dropbox\Client\Dropbox.exe No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
В случае устаревших приложений, которым требуется Java 6, обновите до Java SE Runtime Environment 6u45.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Stolyar · 12.03.2020, 11:32

Всё описанное проделал, вот новые логи

Vvvyg · 12.03.2020, 11:56

Цитата:

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Поэтому нужно пропатчить по полной программе, эта зараза лезет в т. ч. через незакрытые уязвимости, вот только самые критические:

Цитата:

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

И IE обновить до 11-го. Рекомендую всё это сделать сразу через Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1
Предварительно, конечно, точку восстановления и бэкап сделать.

Ну и всё прочее, что в SecurityCheck.txt упомянуто обновлять, браузеры и приложения Adobe - в первую очередь.

Vvvyg · 12.03.2020, 13:10

И для верности такой ещё лог сделайтею
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

12.03.2020, 07:53	#4 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Выделите и скопируйте в буфер обмена следующий код: Код: Start:: CreateRestorePoint: CloseProcesses: Task: {702E2218-E19E-498E-9884-D16453E57400} - \oka -> No File <==== ATTENTION Task: {C87366DD-3CCD-4178-A29A-1E87FB6CC005} - \{F2B809EC-5C2C-4E61-BF81-64EF831033D6} -> No File <==== ATTENTION Task: {FAEF8350-9533-44CC-BEF1-3AA0E2CE2D58} - \{DF607842-D67F-4475-BAF2-5A45C3575D5A} -> No File <==== ATTENTION Task: {0EC66334-CAF0-46BE-9857-7F281F3D64F3} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe [1660520 2020-03-05] (Avast Software s.r.o. -> Avast Software) HKLM\SYSTEM\ControlSet001\Services\Ms0A0CDD69AppC => C:\windows\System32\Ms0A0CDD69App.dll <==== ATTENTION (Rootkit!/Locked Service) C:\windows\System32\Ms0A0CDD69App.dll NETSVC: Ms0A0CDD69App -> no filepath. NETSVC: Ms0A0CDD69AppA -> no filepath. NETSVC: Ms0A0CDD69AppB -> no filepath. NETSVC: Ms0A0CDD69AppBak -> no filepath. NETSVC: Ms0A0CDD69AppC -> no filepath. U0 aswVmm; no ImagePath C:\Program Files\Common Files\Avast Software WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION FirewallRules: [{E50734A7-A1B5-43A0-9C06-671C2860512D}] => (Allow) C:\Program Files (x86)\Dropbox\Client\Dropbox.exe No File Reboot: End:: Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей. Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8. В случае устаревших приложений, которым требуется Java 6, обновите до Java SE Runtime Environment 6u45. Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10). Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt. Приложите этот файл к своему следующему сообщению.

10.03.2020, 17:27
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Данные ссылки могут раскрыть ваши глаза на решение проблемы Проверить логи, создаются ярлыки Создаются ярлыки .scr Настройка блокировки портов и адресов на роутере Не создаются виртуальные диски

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

12.03.2020, 13:10	#7 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	И для верности такой ещё лог сделайтею Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350. Файл C:\TDSSKiller.*_log.txt приложите в теме. (где * - версия программы, дата и время запуска.)