Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH

Ответить
Настройки темы
FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH

Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Такая ситуация, где-то на компе есть вирусня (Windows server 2008 r2). Ни Доктор, ни Антималвар её найти не может (нашли были 1 файлик, но чёт его удаление ни к чему толком не привело). Она делает непонятную хрень. (ну как непонятную, бросает комп периодически в ребут. Закрывает периодически порты, добавляя правила в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local)
Вот что в логах приложения:
Установщик Windows выполнил установку продукта. Продукт: FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH. Версия: 2.0.0.0. Язык: 2052. Изготовитель: FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH.
产品: FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH -- 安装失败。
产品: FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH -- 启动条件描述
Начало транзакции установщика Windows: http://218.108.33.198:…4EBECF77184CBF8706.moe. ИД клиентского процесса: 9624. (куча разных IP и портов)

Отправлено: 09:00, 24-03-2020

 


Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2020.03.24-14.12.zip
(42.9 Kb, 2 просмотров)

Вот
Вот что успел поймать на netstat нечаянно в самый разгар

Кстати, ещё почему-то закрылся утром порт 1540 для 1с(((

Отправлено: 14:16, 24-03-2020 | #3


Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Изображения
Тип файла: png Снимок экрана от 2020-03-24 14-04-37.png
(318.3 Kb, 10 просмотров)

Вот что поймал нестат

Отправлено: 14:19, 24-03-2020 | #4


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Настройку прокси делали самостоятельно?
Цитата:
Internet Settings: [AutoConfigURL] = hххp://192.168.0.10/wpad2.dat

-------


Отправлено: 14:24, 24-03-2020 | #5


Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


На данный момент прокси не работает.

Отправлено: 14:26, 24-03-2020 | #6


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Пофиксите в HijackThis следующие строчки:
Код: Выделить весь код
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = http://192.168.0.10/wpad2.dat
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0http://192.168.0.10/wpad2.dat
Только запускать утилиту следует от имени администратора
Цитата:
Ran by: v.podgayskiy (group: Limited User)
Перезагрузите компьютер вручную, после чего:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------


Отправлено: 14:29, 24-03-2020 | #7


Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


Вложения
Тип файла: txt Addition.txt
(18.1 Kb, 10 просмотров)
Тип файла: txt FRST.txt
(72.3 Kb, 3 просмотров)

Вот, прошу

Отправлено: 14:47, 24-03-2020 | #8


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Registry Repair 5.0.1.103 запускали до появления проблемы или после?

-------


Отправлено: 15:00, 24-03-2020 | #9


Новый участник


Сообщения: 18
Благодарности: 0

Профиль | Сайт | Отправить PM | Цитировать


После.
Цитата Dveyny@twitter:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local »
вот эту ветку вручную удалял, ибо не давала работать с FTP

Отправлено: 15:03, 24-03-2020 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено




 
Переход