Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не моуг вылечить машину (http://forum.oszone.net/showthread.php?t=309699)

kot488 28-12-2015 10:31 2589002
Не моуг вылечить машину
 
Короче раз словил шифровальщика, все пошифровало. Востановил и начались чудеса. Учетки всем поделал новые кроме администратора, у него поменял пароль, права всем обрезал кроме администратора. И короче понеслось, каждые выходные у меня создаетсяновая учетка, с правами администратора, хотя пароль в неделю раза по два меняю, уже такое чувство что какой то кейлогер лежит. Порты все закрыты, на рдп только открыт и то порт взят с головы, стоит Kaspersky Anti-Virus 2016 который каждую ночь отлавливает одно и тоже(

Вот что мне всегда показывает кашпер
Скрытый текст
28.12.2015 09.25.56 Обнаруженный объект (файл) удален. C:\RECYCLER\xphlkg.exe Файл: C:\RECYCLER\xphlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 09.25.56 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\sethlkg.exe Файл: C:\WINDOWS\system32\sethlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 09.25.55 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\xphlkg.exe Файл: C:\WINDOWS\system32\xphlkg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 9:25
28.12.2015 06.18.26 Обнаруженный объект (файл) удален. C:\hexlg.exe//data0000.res Файл: C:\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.18.26 Обнаруженный объект (файл) удален. C:\hexlg.exe Файл: C:\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.18.23 Чистый объект (файл) помещен пользователем на карантин. C:\hexlg.exe Файл: C:\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:18
28.12.2015 06.17.41 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlg.exe//data0000.res Файл: C:\RECYCLER\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.17.41 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlg.exe Файл: C:\RECYCLER\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.17.41 Чистый объект (файл) помещен пользователем на карантин. C:\RECYCLER\hexlg.exe Файл: C:\RECYCLER\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:17
28.12.2015 06.16.57 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlg.exe Файл: C:\WINDOWS\system32\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.16.57 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlg.exe//data0000.res Файл: C:\WINDOWS\system32\hexlg.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.16.55 Чистый объект (файл) помещен пользователем на карантин. C:\WINDOWS\system32\hexlg.exe Файл: C:\WINDOWS\system32\hexlg.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 28.12.2015 6:16
28.12.2015 06.15.00 Обнаруженный объект (файл) удален. C:\zylg.exe Файл: C:\zylg.exe Название объекта: Trojan-Downloader.VBS.Small.kx Тип объекта: Троянская программа Время: 28.12.2015 6:15
28.12.2015 06.14.57 Обнаруженный объект (файл) удален. C:\RECYCLER\zylg.exe Файл: C:\RECYCLER\zylg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 6:14
28.12.2015 06.14.53 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\zylg.exe Файл: C:\WINDOWS\system32\zylg.exe Название объекта: Trojan-Downloader.BAT.Small.aq Тип объекта: Троянская программа Время: 28.12.2015 6:14
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\hexlogs.exe//data0000.res Файл: C:\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\hexlogs.exe Файл: C:\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Чистый объект (файл) помещен пользователем на карантин. C:\hexlogs.exe Файл: C:\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlogs.exe//data0000.res Файл: C:\RECYCLER\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.35 Обнаруженный объект (файл) удален. C:\RECYCLER\hexlogs.exe Файл: C:\RECYCLER\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.34 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlogs.exe//data0000.res Файл: C:\WINDOWS\system32\hexlogs.exe//data0000.res Название объекта: Rootkit.Win32.Lapka.an Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.34 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\hexlogs.exe Файл: C:\WINDOWS\system32\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.33 Чистый объект (файл) помещен пользователем на карантин. C:\RECYCLER\hexlogs.exe Файл: C:\RECYCLER\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 19.00.32 Чистый объект (файл) помещен пользователем на карантин. C:\WINDOWS\system32\hexlogs.exe Файл: C:\WINDOWS\system32\hexlogs.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 19:00
27.12.2015 13.05.58 Обнаруженный объект (файл) удален. C:\wshom.exe Файл: C:\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:05
27.12.2015 13.04.48 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\config\wshom.exe Файл: C:\WINDOWS\system32\config\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:04
27.12.2015 13.02.38 Обнаруженный объект (файл) удален. C:\WINDOWS\system32\wshom.exe Файл: C:\WINDOWS\system32\wshom.exe Название объекта: HEUR:Trojan.Win32.Generic Тип объекта: Троянская программа Время: 27.12.2015 13:02


И вот такое постоянно в логах
Скрытый текст
Пользователю "wwo" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]
Пользователю "sa" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]
Пользователю "vice" не удалось войти в систему. [КЛИЕНТ: 222.186.34.122]

vvvyg 28-12-2015 11:13 2589018
Логи по правилам предоставьте.

kot488 28-12-2015 12:21 2589047
Прикрепил

vvvyg 28-12-2015 14:19 2589110
Ломятся из Китая, и, видимо, успешно.

Скачайте Universal Virus Sniffer (uVS).
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. Дождитесь окончания работы программы, после сохранения полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z. Прикрепите этот архив к посту в теме.

kot488 28-12-2015 14:30 2589121
Цитата:
Цитата vvvyg
Ломятся из Китая, и, видимо, успешно.
Скачайте Universal Virus Sniffer (uVS).
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. Дождитесь окончания работы программы, после сохранения полный образ автозапуска будет автоматически упакован в архив 7-Zip с расширением .7Z. Прикрепите этот архив к посту в теме. »

Та видел что с китая, тупо постоянно ломится. ( менять порт не вариант, 100 человек


стоит dsl модем dsl n12e, в разделе проброса, поставил запрет на этот ип в отклоние адреса истояника, в tcp порты оставил пустые, по идее же должен все порты отклонять?

vvvyg 28-12-2015 15:32 2589157
, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALLA\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\OLYA\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\OLYA1\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIREKTOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EAHEBAMIOPDHEFNDNMAPPCIHFAJIGKKA\4.6.2.7_0\KASPERSKY PROTECTION
delref %SystemDrive%\PROGRAM FILES\STEAM\STEAM.EXE
delref %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.EXE
cexec tracert google.ua
...В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

kot488 29-12-2015 10:25 2589411
Пишет: Текст скрипта содержит ошибки, либо не содержит команды uVS
Большое желание купить билет в китай и набить морду тому кто это делает, если конечно это не через китайские шлюзы ломатся. новый ип в логах(

vvvyg 29-12-2015 13:42 2589506
Вложений: 1
  • SRV.TXT (2.30 KB, скачиваний: 15)
Всем ста миллионам китайским хакерам - замаетесь морду бить...
Скрипт проверен ещё раз, во вложении дублирую, выполняйте.
SRV.txt

kot488 29-12-2015 14:06 2589513
а да, их много, не подумал)

Выполнил скрипт, вот логи

vvvyg 29-12-2015 23:35 2589663
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. Прикрепите его к сообщению.

Сообщите в личном сообщении ip-адрес, по которому доступен с наружи сервер, проверю на дыры.

kot488 30-12-2015 10:24 2589772
Вот лог avz, и как всегда новый ip ломится

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b

[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Обнаружено уязвимостей: 1

Скачал упдейт тот, посмотрим

kot488 03-01-2016 19:01 2590829
Кашпер больше нечего не находит, учеток новых нет, но вот китайцы продолжают ломиться(
Думал закрыть всем доступ а сделать определенным ip разрешение, так у всех dhcp

vvvyg 04-01-2016 00:25 2590907
Снаружи открыть доступ по RDP есть возможность только определённым адресам/подсетям?
Если нет - простейший роутер с возможностью настройки файрвола рещит проблему. Или софтовый файрволл.

kot488 04-01-2016 09:43 2590948
У меня обычный dsl-n12e, там нечего такого нет,
Что можешь посоветовать поднять? может isa поставить да правилами только определенных пользователей пускать?

regist 04-01-2016 13:17 2591015
kot488, по настройке сети лучше создать отдельную тему тут http://forum.oszone.net/forum-55.html
В этом разделе право отвечать имеют только несколько человек, так что там скорее разберётесь.
И тут раздел для лечения от вирусов, так что немного офтопик.

Ломятся к вам как понял из вне? Кроме этого какие проблемы остались?


Время: 21:58.

Время: 21:58.
© OSzone.net 2001-