[ Закрыто ] BAT/TrojanDownloader.Ftp.NSR троянская программа , WMI/ActiveScriptEventConsumer/fuckyoumm2_consumer:

Предупреждения появляются по несколько раз в день, а в карантине уже почти 50 насобиралось
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Возможно идет сетевая атака. Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

+
Цитата
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Ещё появились в автозапуске некие start и start1, но выключил их в CCleaner


https://fex.net/get/947867398882/19906069
да, а вот запись вредоносного скрипта в базу WMI антивирусник таки пропускает в результате сетевой атаки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\S8L6J2CA.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_2512_418\EXTENSION_0_46_0_4.CRX
delref %Sys32%\MACROMED\FLASH\FLASH32_13_0_0_214.OCX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\EAPAHOST.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

+
идет сетевая атака.
Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
или отсюда можно скачать патч для вашей системы win XP SP3

http://rgho.st/6rKy5zRWV

+
восстановите c2.bat из карантина в c2.vbat, добавьте его в архив с паролем infected и вышлите в почту safety@chklst.ru
Патч установил, проверка в малвербайт в файле
При восстановлении c2.bat NOD сразу его удалил)
Изменено: Dmitry Shkurgan - 23.06.2017 12:05:59
добавьте в настройки антивируса исключение  (не проверять) для расширений VBAT
а при восстановлении из карантина выбрать действие "сохранить как", и укажите ему имя c2.vbat
(потом можно удалить эту запись VBAT из настроек)

если патч установлен, то теперь система не должна пробиваться из внешней сети.
все что было вредоносное в системе мы вычистили,

понаблюдайте за реакцией антивируса, будет ли он еще что то подобное обнаруживать.
Спасибо, отправил. Пока антивирус молчит
Читают тему (гостей: 1)