Решена Avira, Malwarebytes, MB3Install и все что положено ...

Статус
В этой теме нельзя размещать новые ответы.

jampers

Новый пользователь
Сообщения
17
Реакции
0
Добрый день. Увы постигла меня данная напасть. Вечером 03.01.22, судя по дате создания данных папок, данная зараза посетила сервер. Накрыло хостовую машину и две виртуалки. Написало в брандмауер кучу правил и насоздавало папок. Две оставшиеся виртуалки работают дальше успешно.
Процессы я все убил, одну виртуалку (домен-контроллер) перезагрузил, слегка почистил её, удалив те папки что нашел сразу. Глубже не пошел, так как слетела загрузочная запись, решал эту проблему. В итоге домен заработал. Перешел к виртуалке с 1С.
AutoLogger и AV_block_remover дают следующие файлы.
Перегрузить пока не могу, народ работает. В ночь разве что.
Собственно ещё вопрос. Какова последовательность борьбы с заразой?
Во первых лечить хост, остановив все виртуалки, или по очереди лечить виртуалки? И в последствии хостовую машину.
Заранее благодарю.
 

Вложения

  • AV_block_remove_2022.01.12-15.48.log
    6.3 KB · Просмотры: 2
  • CollectionLog-2022.01.12-15.35.zip
    67 KB · Просмотры: 12
Здравствуйте!

Автологер запускали после AVbr или до?
Или после AVbr не перезагружались?

Во первых лечить хост, остановив все виртуалки, или по очереди лечить виртуалки?
Так предпочтительно.
 
автогоггер был до AVbr. перегрузить не могу. Около 6 человек ударно работают.
ну разве что в пятницу вечером начинать эту гонку, бухи отчеты пишут. пока работает -лучше не трогать ((( так хоть время будет на борьбу
 
Последнее редактирование:
На вопросы не ответили :)
От ответов зависят следующие рекомендации.
 
Ясно.
Тогда так: когда будет возможность, запустите ещё раз AVbr, перезагрузите машину и после перезагрузки соберете CollectionLog Автологером.
 
ок. спасибо за оперативность. по результатам действий отпишусь.
 
Если лечение данной виртуалки необходимо вынести в отдельный топик, сообщите, я сделаю его.
Создал другой топик.
 
Последнее редактирование:
ребутнул. жду указаний
 

Вложения

  • AV_block_remove_2022.01.12-22.17.log
    5.3 KB · Просмотры: 1
  • CollectionLog-2022.01.12-22.03.zip
    56 KB · Просмотры: 12
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Данная зараза "прилетает", с пиратским софтом, играми... обычно
 
Данная зараза "прилетает", с пиратским софтом, играми... обычно
игр нет, это рабочий сервер. на хостовой машине вообще с момента её запуска ничего не ставилось, но и обновки качались последний раз в 16 году.
по FRST64 такой отчет.
Обновления я по возможности накатил, те что критично требовались. Зараза вроде не лезет. Жду день, в ночь - новые эксперименты.
 

Вложения

  • Addition.txt
    71.6 KB · Просмотры: 12
  • FRST.txt
    35.1 KB · Просмотры: 11
Система заражена по новой...
Давайте так, дождитесь возможности перезагрузки, запустите AVbr и сразу после его работы перезагрузите.
Соберите после перезагрузки новый CollectionLog.
 
Хорошо. На ночь тогда эти манипуляции. Сейчас никак. ((
 
Добрый день. собственно врагов победил. Все заплаты поставил. Файлик прилагаю.
Если что то ещё надо сделать - готов.
 

Вложения

  • CollectionLog-2022.01.14-22.20.zip
    59.8 KB · Просмотры: 11
Можно удалить пустые ярлыки:

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


В остальном - порядок. Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу