[решено] Подозрение на заражение

Sandor · Отправлено: **12:49, 25-07-2022** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:

begin
 TerminateProcessByName('c:\programdata\wininit.exe');
 TerminateProcessByName('c:\windows\tasks\mstask.exe');
 TerminateProcessByName('c:\windows\temp\~mp52b1.tmp\~ma4650.exe');
 StopService('TaskSc');
 StopService('WMService');
 QuarantineFile('c:\programdata\wininit.exe', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '');
 QuarantineFile('c:\windows\tasks\mstask.exe', '');
 QuarantineFile('C:\windows\tasks\Wmiic.exe', '');
 QuarantineFile('C:\Windows\TEMP\rundll32.exe', '');
 QuarantineFile('C:\Windows\temp\System.exe', '');
 DeleteSchedulerTask('aTMrQbpn');
 DeleteSchedulerTask('CMoNKafg');
 DeleteSchedulerTask('GQQYCmMy');
 DeleteSchedulerTask('rundll32');
 DeleteFile('c:\programdata\wininit.exe', '');
 DeleteFile('C:\programdata\wininit.exe', '64');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '64');
 DeleteFile('c:\windows\tasks\mstask.exe', '32');
 DeleteFile('C:\windows\tasks\Wmiic.exe', '64');
 DeleteFile('C:\Windows\TEMP\rundll32.exe', '32');
 DeleteFile('C:\Windows\TEMP\rundll32.exe', '64');
 DeleteFile('C:\Windows\temp\System.exe', '64');
 DeleteService('TaskSc');
 DeleteService('WMService');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32.exe', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32.exe', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Services.exe', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Services.exe', '64');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Adobe Flash Player 11 Plugin 64-bit - устарел и больше не поддерживается. Удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Leaves · Отправлено: **13:29, 25-07-2022** | #3

Цитата Sandor:

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт): »

Можно ли выполнить данный скрипт из терминала?

Sandor · Отправлено: **13:34, 25-07-2022** | #4

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить.

Leaves · Отправлено: **14:50, 25-07-2022** | #5

Цитата Sandor:

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить. »

К сожалению, там остаться не вариант, когда работают пользователи - это не сделаешь, когда заканчивается рабочий день все закрывается и развозит служебка, если оставаться то сразу на всю ночь)
Поэтому и спрашиваю, выполнить скрипт и сразу отправить на ребут... А лог собрать с консоли уже. После выполнения скрипта не отрубит терминал, был ли у вас такой опыт?

Sandor · Отправлено: **14:59, 25-07-2022** | #6

Если есть возможность подключиться, например, через TeamViewer, то сработает и также через Team пустите на перезагрузку.
Конечно, желательно бы находиться там рядом, мало ли что может пойти не так, как задумано.

Вредонос сидит в системе, попробуйте как-то запланировать остановку сервера, предупредив заблаговременно всех пользователей.