Перейти к содержимому


Фото
- - - - -

Трояны Myska / ok и что то еще. (HELP!)

mysa ok

  • Please log in to reply
16 ответов в этой теме

#1 medvedaff

medvedaff

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 11 Август 2020 - 04:14

Сервер СУБД 24/7 ,без сетевой шары , 2 админа по рдп, win server 2008 со всеми текущими обновлениями, антивирус после ребута удалился, cureit постоянно находит и обезвреживает после ребута снова и снова, лайв сд не стартует на данном железе (usb и CD устройства), останавливать работу более чем на час не можем, оборудование под замену планового данного сервера как назло еще не пришло, будет через 2\3 недели, в планировщике задач постоянно появляются таски, удаляем, ребут снова появляются, стабилизировали работу пока так после ребута проверка cureit'ом и сервер себя чуствуют в адеквате до следующего ребута, сервер ребутит себя сам когда захочет, ибо это не аварийное завершение работы а полноценное завершение работы и перезагрузка, в журнале событий все хорошо, повторная установка дрвеб для сервера не стартует spider guard а после ребута антивируса как и не бывало. логи и отчеты прикрепляю, не которые отчеты оказались большим и форум не дает их подкрепить  вылаживаю на обменник. 

 

cureit

 

https://yadi.sk/d/lIUvunc7XMhT6g

 

drweb master scan 

https://yadi.sk/d/Hmbg3v-JPgy3Mg

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 11 Август 2020 - 04:14

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 11 Август 2020 - 08:40

medvedaff, Вам нужно пролечится с помощью Dr.Web LiveDisk, пробуйте записать его на другую флэшку. Да и все обновления безопасности для сервера должны быть установлены.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#4 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 929 Сообщений:

Отправлено 11 Август 2020 - 09:33

пробуйте записать его на другую флэшку.
Есть шанс не смотря на то, что даже с CD не стартует?

#5 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 11 Август 2020 - 10:16

Есть шанс не смотря на то, что даже с CD не стартует?

Есть!


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#6 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 841 Сообщений:

Отправлено 11 Август 2020 - 10:55

Я бы предложил ТСу просмотреть что запускает планировщик заданий: подозрительное отключить. И так же поступить со списком служб. Потом, если что-то отключалось, надёжнее будет перезагрузиться и ещё раз всё это проверить. Обновления безопасности Windows строго рекомендуются.



#7 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 11 Август 2020 - 11:09

Я бы предложил ТСу просмотреть что запускает планировщик заданий: подозрительное отключить. И так же поступить со списком служб. Потом, если что-то отключалось, надёжнее будет перезагрузиться и ещё раз всё это проверить.

Это бессмысленно делать, там буткит, при старте системы малварь восстановится.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#8 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 11 Август 2020 - 11:18

DNSServerSearchOrder IPAddress="223.5.5.5"

medvedaff, Этот DNS малварь прописывает, меняйте его.

 

Вот эти файлы:

C:\Windows\Temp\u.exe

C:\Windows\Temp\conhou.exe

C:\windows\Temp\wmi.bat

C:\windows\TEMP\n.vbs

C:\Windows\temp\c3m.bat

Отправьте в вирлаб https://vms.drweb.ru/sendvirus


Сообщение было изменено Eugen Engelhardt: 11 Август 2020 - 11:26

With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#9 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 11 Август 2020 - 11:54

+

3ef23a91cc8560d048d4ef96bd0152f1c5430716|unsigned, pe32 (0x100400)||c:\windows\system\msinfo.exe
83b00996297fa97f150a0a5ffc045cd471040dd8|unsigned, pe32, new_pe (0x900400)||c:\windows\temp\167.exe
64d75e9527bff69587c188eacc3b7ee8cd538b38|unsigned, pe32, new_pe (0x900400)||c:\windows\temp\conhost.exe

Нет детекта.


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#10 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 11 Август 2020 - 11:56

Все что в temp, может быть интересно.
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#11 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 11 Август 2020 - 12:11

Прям какое-то обилие, эти тоже интересны:
C:\Users\Администратор\AppData\Local\Temp\~nsuA.tmp\Un_A.exe
C:\Users\Администратор\AppData\Local\Temp\nse5AC3.tmp\BitsUtils.dll

With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#12 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Август 2020 - 15:57

+

3ef23a91cc8560d048d4ef96bd0152f1c5430716|unsigned, pe32 (0x100400)||c:\windows\system\msinfo.exe
83b00996297fa97f150a0a5ffc045cd471040dd8|unsigned, pe32, new_pe (0x900400)||c:\windows\temp\167.exe
64d75e9527bff69587c188eacc3b7ee8cd538b38|unsigned, pe32, new_pe (0x900400)||c:\windows\temp\conhost.exe

Нет детекта.

 

Добавил.



#13 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Август 2020 - 15:59

c:\windows\temp\ieutil.dat - вот этот файл пришлите в вирлаб.



#14 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 11 Август 2020 - 16:09

И соберите отчет именно этой версией sysinfo: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe



#15 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 11 Август 2020 - 17:36

можно так же через winpe&uVS сделать образ автозапуска зараженной системы,

и все аккуратно зачистить через uVS. и зараженный MBR, и левые политики безопасности, и все остальное.

iso образ загрузочного диска можно скачать отсюда:

https://www.dropbox.com/sh/4uzvv6p593xjno3/AAB2XtY4s0eKeGVzLDFyZJXNa?dl=0


Сообщение было изменено santy: 11 Август 2020 - 17:37


#16 medvedaff

medvedaff

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 12 Август 2020 - 06:45

всем спасибо за отклик, удалось запустить лайвсд со внешнего привода (пробывали 2 разных, на 2-ром чудо буут увидел его) просканировал пролечился, загрузочный сектор был вылечен, в данный момент работу остановить не могу (утром чуть не убили за задержку в 15 минут) , файлы на вирлаб отправлю попозже, последующие отпишусь. 



#17 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 12 Август 2020 - 11:23

Если MBR вылечен, то установленный антивирус с остальным уже должен справится сам. По крайней мере новое заражение MBR не допустит.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых