Решена Avira, Malwarebytes, MB3Install и все что положено ...

jampers

Пользователь
Сообщения
16
Реакции
0
Добрый день. Увы постигла меня данная напасть. Вечером 03.01.22, судя по дате создания данных папок, данная зараза посетила сервер. Накрыло хостовую машину и две виртуалки. Написало в брандмауер кучу правил и насоздавало папок. Две оставшиеся виртуалки работают дальше успешно.
Процессы я все убил, одну виртуалку (домен-контроллер) перезагрузил, слегка почистил её, удалив те папки что нашел сразу. Глубже не пошел, так как слетела загрузочная запись, решал эту проблему. В итоге домен заработал. Перешел к виртуалке с 1С.
AutoLogger и AV_block_remover дают следующие файлы.
Перегрузить пока не могу, народ работает. В ночь разве что.
Собственно ещё вопрос. Какова последовательность борьбы с заразой?
Во первых лечить хост, остановив все виртуалки, или по очереди лечить виртуалки? И в последствии хостовую машину.
Заранее благодарю.
 

Вложения

  • AV_block_remove_2022.01.12-15.48.log
    6.3 KB · Просмотры: 1
  • CollectionLog-2022.01.12-15.35.zip
    67 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
Здравствуйте!

Автологер запускали после AVbr или до?
Или после AVbr не перезагружались?

Во первых лечить хост, остановив все виртуалки, или по очереди лечить виртуалки?
Так предпочтительно.
 

jampers

Пользователь
Сообщения
16
Реакции
0
автогоггер был до AVbr. перегрузить не могу. Около 6 человек ударно работают.
ну разве что в пятницу вечером начинать эту гонку, бухи отчеты пишут. пока работает -лучше не трогать ((( так хоть время будет на борьбу
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
На вопросы не ответили :)
От ответов зависят следующие рекомендации.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
Ясно.
Тогда так: когда будет возможность, запустите ещё раз AVbr, перезагрузите машину и после перезагрузки соберете CollectionLog Автологером.
 

jampers

Пользователь
Сообщения
16
Реакции
0
ок. спасибо за оперативность. по результатам действий отпишусь.
 

jampers

Пользователь
Сообщения
16
Реакции
0
Если лечение данной виртуалки необходимо вынести в отдельный топик, сообщите, я сделаю его.
Создал другой топик.
 
Последнее редактирование:

jampers

Пользователь
Сообщения
16
Реакции
0
ребутнул. жду указаний
 

Вложения

  • AV_block_remove_2022.01.12-22.17.log
    5.3 KB · Просмотры: 1
  • CollectionLog-2022.01.12-22.03.zip
    56 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,758
Реакции
14,053
Данная зараза "прилетает", с пиратским софтом, играми... обычно
 

jampers

Пользователь
Сообщения
16
Реакции
0
Данная зараза "прилетает", с пиратским софтом, играми... обычно
игр нет, это рабочий сервер. на хостовой машине вообще с момента её запуска ничего не ставилось, но и обновки качались последний раз в 16 году.
по FRST64 такой отчет.
Обновления я по возможности накатил, те что критично требовались. Зараза вроде не лезет. Жду день, в ночь - новые эксперименты.
 

Вложения

  • Addition.txt
    71.6 KB · Просмотры: 3
  • FRST.txt
    35.1 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
Система заражена по новой...
Давайте так, дождитесь возможности перезагрузки, запустите AVbr и сразу после его работы перезагрузите.
Соберите после перезагрузки новый CollectionLog.
 

jampers

Пользователь
Сообщения
16
Реакции
0
Добрый день. собственно врагов победил. Все заплаты поставил. Файлик прилагаю.
Если что то ещё надо сделать - готов.
 

Вложения

  • CollectionLog-2022.01.14-22.20.zip
    59.8 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,612
Реакции
2,586
Можно удалить пустые ярлыки:

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


В остальном - порядок. Читайте Рекомендации после удаления вредоносного ПО
 
Сверху Снизу