Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto1"

Статус
В этой теме нельзя размещать новые ответы.

Chezy

Участник
Сообщения
72
Реакции
1
Снова здравствуйте. Имеется 2 сервера на Windows Server 2003 с установленным СУДОС, взаимосвязанные между собой. С 2009 года все работало стабильно, если что то и случалось, то восстанавливалось с готового образа. Неделю назад на всех рабочих местах начало выбивать (перезагружаться) программу "СУДОС", при этом на сервере все работает стабильно. Поддержка пытается помочь, но пока тоже бессильна. Нашли вирус на сервере, который перемещал скрывал и перемещал папки, как раз в базе этого "судоса". Вылечили, вылечили рабочие места, восстанавливали базу, ничего не помогло. Делали восстановление рабочего образа от ноября 2020 года, так же ничего не изменилось. Собрал и прикрепил логи рабочего места "rezmesto1". Все рабочие места на windows xp. Прошу помощи, проблема длится уже 2 недели.
 

Вложения

  • CollectionLog-2021.08.05-10.37.zip
    50.2 KB · Просмотры: 11
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\dllhostex.exe');
 TerminateProcessByName('c:\windows\networkdistribution\svchost.exe');
 QuarantineFile('c:\windows\system32\dllhostex.exe', '');
 QuarantineFile('c:\windows\system32\windowsssdpmanager.dll','');
 QuarantineFile('c:\windows\networkdistribution\svchost.exe','');
 DeleteFile('c:\windows\networkdistribution\svchost.exe','32');
 DeleteFile('c:\windows\system32\windowsssdpmanager.dll','32');
 DeleteFile('c:\windows\system32\dllhostex.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WindowsSSDPManager\Parameters','ServiceDll','x32');
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 
Последнее редактирование:
Если уже выполнили первый скрипт, выполните ещё раз (внёс некоторые изменения).
 
@Sandor, Наконец добрался туда. Файл quarantine.7z отправил с помощью формы отправки карантина с именем 2021.08.12_quarantine_f0aff5173c2700d4a4cc5a85a531cceb.7z
прикрепил свежие логи
 

Вложения

  • CollectionLog-2021.08.12-10.19.zip
    32.2 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    (Microsoft Corporation) [File not signed] C:\WINDOWS\system32\dllhostex.exe
    CloseProcesses:
    R2 WindowsSSDPManager; C:\WINDOWS\system32\WindowsSSDPManager.dll [109056 2008-04-14] (Microsoft Corporation) [File not signed]
    NETSVC: WindowsSSDPManager -> C:\WINDOWS\system32\WindowsSSDPManager.dll (Microsoft Corporation)
    NETSVC: WindowsSSDPManager -> C:\WINDOWS\system32\WindowsSSDPManager.dll (Microsoft Corporation)
    2021-08-12 10:12 - 2021-08-12 10:12 - 000000000 ____D C:\WINDOWS\NetworkDistribution
    C:\WINDOWS\system32\dllhostex.exe
    C:\WINDOWS\system32\WindowsSSDPManager.dll
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
@Sandor, ПК начал перезагружаться каждые 3-4 минуты после включения, без синего экрана. Еще появился какой то файл gsoxbrelnnksyvxp. Приложил дамп памяти, fixlog и gsoxbrelnnksyvxp
 

Вложения

  • Fixlog.txt
    2.3 KB · Просмотры: 1
  • gsoxbrelnnksyvxp.txt
    645 байт · Просмотры: 5
  • rezmesto1.rar
    101.5 KB · Просмотры: 3
Хорошо.
Для контроля соберите и прикрепите новые логи FRST.txt и Addition.txt
 
Пойдём другим путём.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 
@Sandor, там karaul и rezmesto2 начали вылетать опять, после того как обновления поставил
 
Да, я вижу, что вредонос ещё пока в системе. Делайте лог.
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv5.1
    v400c
    sreg
    
    zoo %Sys32%\DLLHOSTEX.EXE
    addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 Tool.BtcMine.1969 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE
    addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 BackDoor.Spy.3365 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL
    addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 Tool.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 BackDoor.Spy.3364 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL
    addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Equation.25 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Equation.91 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SPOOLSV.EXE
    addsgn 1A96739A55838C8FF42B624E41304245250103A302169E94ADC0C5BCF3DECE0C239ECE5381159DC03E803BDF469F5406C39FE8FB60220E6C2DFE99DB79462215 8 BackDoor.Siggen2.2089 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\CRLI-0.DLL
    addsgn 79132211B9E9317E0AA1AB5918CB12057863670B76059487D048293DBCFE724C23B4E3033E45144437D4848FCF0351AE7DCF616F418EB03CA442B47BC716AB4E 64 Trojan.Equation.4 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SSLEAY32.DLL
    addsgn 79132211B9E9317E0AA1AB591ACB12057863670B76059487D048293DBCFE724C23B4DB9E3C4514443F49868FCF0359337FCF616F5913B23CA442ACE6C516AB4E 64 Tool.Equation.22 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBEAY32.DLL
    addsgn 79132211B9E9317E0AA1AB5952CB12057863670B76059487D048293DBCFE724C23B4732B3345144487FC898FCF03E18670CF616FF1A6BD3CA4420453CA16AB4E 64 Win32:Rootkit-gen [Rtk] [Avast] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\ZLIB1.DLL
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B4A3A3720F14447774C8C5CF03110E3185616F012EFC76A442F4DB8B5CAB4E 64 Tool.Equation.21 [DrWeb] 7
    
    chklst
    delvir
    ;---------command-block---------
    bp C:\WINDOWS\SYSTEM32\WINDOWSSSDPMANAGER.DLL
    dirzooex %SystemRoot%\NETWORKDISTRIBUTION
    zoo %Sys32%\WINDOWSSSDPMANAGER.DLL
    delall %Sys32%\WINDOWSSSDPMANAGER.DLL
    apply
    
    deldirex %SystemRoot%\NETWORKDISTRIBUTION
    deltmp
    areg
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Соберите для контроля новый образ автозапуска uVS, при этом запускать AutorunVTChecker уже не нужно.
 
  • Like
Реакции: akok
@Sandor, отправил архив с помощью формы под именем 2021.08.15_virus_8dbc17ee54d121e74d30c6f9a42303a9.zip
так же прикрепляю новый образ автозапуска uVS
 

Вложения

  • REZMESTO1_2021-08-15_09-59-39_v4.11.8.7z
    304.8 KB · Просмотры: 1
Заразились по новой. Если возможно, пока отключите этот компьютер от локальной сети и интернета.

Предыдущий скрипт можно повторить (карантин уже присылать не нужно).
Соберите такой отчет:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу