Перейти к содержанию

[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить


nikhopka

Рекомендуемые сообщения

Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).

После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.

Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.

Сам майнер заблочила штатными средствами.

 

Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.

CollectionLog-2020.03.22-20.18.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Что из следущего вам известно?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - 3AD010247A8F1E991F8DDE5D47989CB5202E5614 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6A2C691767C2F1999B8C020CBAB44756A99A0C41 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - 8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 - DarkMatter High Assurance CA
O7 - Policy: [Untrusted Certificate] HKLM - 9FEB091E053D1C453C789E8E9C446D31CB177ED9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1
O7 - Policy: [Untrusted Certificate] HKLM - D3FD325D0F2259F693DD789430E3A9430BB59B98 - DarkMatter High Assurance CA
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 
Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.
 

Что из следущего вам известно?

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?
 

HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксила.

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Прикрепила.

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

 

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 

Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

А меняли пароли после этого?

 

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

Но сами вы их не помечали как недоверенные?

 

 

Остались остатки от Zenama на вашем сервере:

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

Сделайте резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    CreateRestorePoint:
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите  через данную форму

 

 

 

Похоже на вредоносные записи, они вам знакомы?

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Уточните пожалуйста, вам еще нужна помощь?

 

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

Да, извините, просто я могу этим заниматься только по выходным.

 

 

А меняли пароли после этого?

Где конкретно?

 

 

Но сами вы их не помечали как недоверенные?

Нет.

 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

 

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Это придётся до завтра отложить. Завтра выложу.

 

 

Похоже на вредоносные записи, они вам знакомы?

Как удалить эти вредоносные строки?

Изменено пользователем nikhopka
Ссылка на комментарий
Поделиться на другие сайты

Это придётся до завтра отложить. Завтра выложу.

Если только ранее не выполняли, то я то выполните следующий.

 

 

Как удалить эти вредоносные строки?

Я добавил вредоносные строки в исправление.

 

Желательно перед следующими манипуляциями сделать минимум одну резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
    WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму .

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

@SQ



File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Users\ss\Downloads\ritm.conf.exe

Эти вещи я, кажется, знаю (они запущены постоянно): 
VSPE - программа для просбросов портов;
ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива).
 

Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt
 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:
post-57841-0-33722400-1585442748_thumb.png
 
Что делать дальше?

PS. А эти моменты актуальны? Поясните, пожалуйста.

А меняли пароли после этого?

Где конкретно?

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

Изменено пользователем nikhopka
Ссылка на комментарий
Поделиться на другие сайты

Похоже ваш сервер был заражен Bondnet (сервер использовался как ботнет), скорее всего был взломан через MySQL. Вам желательно необходимо убедиться, что Ваш MySQL Server обновлен и не уязвим к известным уязвимостям. Найденный записи в wmi на вашем сервер это подверждат, а также согласно утилите на gidhub по удалению этого типа ботнета.

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?
P.S. Возможно спомощью их вы узнаете на какие сервера производились аттаки с вашего сервера.

 

 

А меняли пароли после этого?

Где конкретно?

 

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.
 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

Уточните пожалуйста, что с проблемой?

Могли бы приложить новые логи утилиты FRST (frst.txt и addition.txt), чтобы убедиться, что все прошло хорошо?
 

 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 


Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.

Сделано, сервер недоступен извне, БД вроде недоступна извне.

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

 

Уточните пожалуйста, что с проблемой?

MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился.

post-57841-0-46604400-1585446183_thumb.png

Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли?

post-57841-0-24209800-1585446190_thumb.pngpost-57841-0-06299200-1585446194_thumb.png

Могли бы приложить новые логи утилиты FRST, чтобы убедиться, что все прошло хорошо?

FRST.txtAddition.txt

 

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?

Нет ни того, ни другого.

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?

Изменено пользователем nikhopka
Ссылка на комментарий
Поделиться на другие сайты

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

Нет, просто есть записи в реестре о драйверах антивирусного ПО Zemana.

 

 

Согласно логам осталось еще одна вредоносная запись.

 

По возможности сделайте резервную копию состояния системы (System State backup) перед манипуляциями.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

UPD:

Пришел ответ от ВирЛаба касаемо вашего карантина:

==================

В присланном Вами файле не найдено ничего вредоносного.

==================

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt

 

Что делать дальше (кроме MySQL - это я поняла)?

Изменено пользователем nikhopka
Ссылка на комментарий
Поделиться на другие сайты

Проверьте пожалуйста, что с проблемой?

P.S. В  ЛС (личным сообщением, вверху форума вы увидете конвертик) я отправил вам рекомендации от ЛК.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

В логах кроме предупреждений о битых записях Zemana, ничего плохого не вижу. Сообщите, если проблем еще воспроизводиться?
 


==================== Faulty Device Manager Devices ============

Name: ZAM Helper Driver
Description: ZAM Helper Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: ZAM Guard Driver
Description: ZAM Guard Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM_Guard
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

- Если хотите это убрать, то можете попробовать выполнить следующие рекомендации в безопасном режиме:
- Также лучше сделать резерную копию состояния системы, так как изменения будут производиться в реестре, чтобы в случае неудачи, можно было откатить состояние работы системы.
 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

×
×
  • Создать...