Перейти к содержанию

[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить


Рекомендуемые сообщения

Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).

После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.

Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.

Сам майнер заблочила штатными средствами.

 

Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.

CollectionLog-2020.03.22-20.18.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Что из следущего вам известно?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - 3AD010247A8F1E991F8DDE5D47989CB5202E5614 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6A2C691767C2F1999B8C020CBAB44756A99A0C41 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - 8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 - DarkMatter High Assurance CA
O7 - Policy: [Untrusted Certificate] HKLM - 9FEB091E053D1C453C789E8E9C446D31CB177ED9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1
O7 - Policy: [Untrusted Certificate] HKLM - D3FD325D0F2259F693DD789430E3A9430BB59B98 - DarkMatter High Assurance CA
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 
Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.
 

Что из следущего вам известно?

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?
 

HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксила.

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Прикрепила.

 

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

 

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 

Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

А меняли пароли после этого?

 

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

Но сами вы их не помечали как недоверенные?

 

 

Остались остатки от Zenama на вашем сервере:

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

Сделайте резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    CreateRestorePoint:
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите  через данную форму

 

 

 

Похоже на вредоносные записи, они вам знакомы?

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста, вам еще нужна помощь?

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста, вам еще нужна помощь?

 

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

Да, извините, просто я могу этим заниматься только по выходным.

 

 

А меняли пароли после этого?

Где конкретно?

 

 

Но сами вы их не помечали как недоверенные?

Нет.

 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

 

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Это придётся до завтра отложить. Завтра выложу.

 

 

Похоже на вредоносные записи, они вам знакомы?

Как удалить эти вредоносные строки?

Изменено пользователем nikhopka
Ссылка на сообщение
Поделиться на другие сайты

Это придётся до завтра отложить. Завтра выложу.

Если только ранее не выполняли, то я то выполните следующий.

 

 

Как удалить эти вредоносные строки?

Я добавил вредоносные строки в исправление.

 

Желательно перед следующими манипуляциями сделать минимум одну резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
    WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму .

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

@SQ



File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Users\ss\Downloads\ritm.conf.exe

Эти вещи я, кажется, знаю (они запущены постоянно): 
VSPE - программа для просбросов портов;
ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива).
 

Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt
 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:
post-57841-0-33722400-1585442748_thumb.png
 
Что делать дальше?

PS. А эти моменты актуальны? Поясните, пожалуйста.

А меняли пароли после этого?

Где конкретно?

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

Изменено пользователем nikhopka
Ссылка на сообщение
Поделиться на другие сайты

Похоже ваш сервер был заражен Bondnet (сервер использовался как ботнет), скорее всего был взломан через MySQL. Вам желательно необходимо убедиться, что Ваш MySQL Server обновлен и не уязвим к известным уязвимостям. Найденный записи в wmi на вашем сервер это подверждат, а также согласно утилите на gidhub по удалению этого типа ботнета.

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?
P.S. Возможно спомощью их вы узнаете на какие сервера производились аттаки с вашего сервера.

 

 

А меняли пароли после этого?

Где конкретно?

 

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.
 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

Уточните пожалуйста, что с проблемой?

Могли бы приложить новые логи утилиты FRST (frst.txt и addition.txt), чтобы убедиться, что все прошло хорошо?
 

 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 


Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.

Сделано, сервер недоступен извне, БД вроде недоступна извне.

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

 

Уточните пожалуйста, что с проблемой?

MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился.

post-57841-0-46604400-1585446183_thumb.png

Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли?

post-57841-0-24209800-1585446190_thumb.pngpost-57841-0-06299200-1585446194_thumb.png

Могли бы приложить новые логи утилиты FRST, чтобы убедиться, что все прошло хорошо?

FRST.txtAddition.txt

 

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?

Нет ни того, ни другого.

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?

Изменено пользователем nikhopka
Ссылка на сообщение
Поделиться на другие сайты

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

Нет, просто есть записи в реестре о драйверах антивирусного ПО Zemana.

 

 

Согласно логам осталось еще одна вредоносная запись.

 

По возможности сделайте резервную копию состояния системы (System State backup) перед манипуляциями.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

UPD:

Пришел ответ от ВирЛаба касаемо вашего карантина:

==================

В присланном Вами файле не найдено ничего вредоносного.

==================

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt

 

Что делать дальше (кроме MySQL - это я поняла)?

Изменено пользователем nikhopka
Ссылка на сообщение
Поделиться на другие сайты

Проверьте пожалуйста, что с проблемой?

P.S. В  ЛС (личным сообщением, вверху форума вы увидете конвертик) я отправил вам рекомендации от ЛК.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

В логах кроме предупреждений о битых записях Zemana, ничего плохого не вижу. Сообщите, если проблем еще воспроизводиться?
 


==================== Faulty Device Manager Devices ============

Name: ZAM Helper Driver
Description: ZAM Helper Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: ZAM Guard Driver
Description: ZAM Guard Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM_Guard
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

- Если хотите это убрать, то можете попробовать выполнить следующие рекомендации в безопасном режиме:
- Также лучше сделать резерную копию состояния системы, так как изменения будут производиться в реестре, чтобы в случае неудачи, можно было откатить состояние работы системы.
 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Elenaaa
      От Elenaaa
      При быстрой проверке смутило то, что появилась кнопка "устранить" рядом с System Memory. Безопасно ли нажимать, и что вообще происходит в данной ситуации, если нажать?

    • anariel_m
      От anariel_m
      Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

      Буду очень благодарна за помощь.
      CollectionLog-2022.10.19-20.01.zip
    • Burila
      От Burila
      В корпоративной сети появился и разползся вирус. 

      Антивирусы определяют его как:
      HEUR:Trojan.Multi.GenAutorunSvc.ksws    [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с)    [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452    [DrWeb CureIT]  
      Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
      Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
       
      Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
      После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
       
      Прошу проконсультировать:
      1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
      2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
      3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
      Заранее благодарю.
       
      Это была преамбула, теперь более развернутая информация:
       
      Сервера:

      С их диагностики всё началось, с ними же грустнее всего.
      В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
      После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
      Находилось следующее:
       
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
      Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH 
       
      После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
      Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
      Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет. 
      И, возможно, еще что-то делает не такое явное.
      Блок сообщений с одного из серверов:
       
      Время: 26.08.2021 2:06:54
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer 
       
      Время: 26.08.2021 2:06:55
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 
       
      Время: 26.08.2021 2:50:51
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      Время: 26.08.2021 6:55:28
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1 
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      На других серверах дополнительно появляются сообщения с другими пользователями и процессом:
       
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: localhost
      Пользователь: WORKGROUP\FIL-T2$
      Имя процесса: services.exe
      PID: 764
       
      Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
      Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      Компьютер: VIRTUALMACHINE
      Пользователь: VIRTUALMACHINE\Администратор
      Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
       
      Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
      Имя объекта: C:\Windows\System32\mue.exe 
      MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
      Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
      Компьютер: network
      Пользователь: VIRTUALMACHINE\Администратор

      Клиентские компьютеры:

      Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
      При отключения Касперского машина заражается.
      Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса: 
      Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
      Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
       
      Объект: powershell.exe
      Угроза: PowerShellDownLoader.1452
      Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
       
      Объект: CommandLineTemplate
      Угроза: PowerShellMulDrop.129
      Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate
       
      powershell.exe может быть несколько, CommandLineTemplate обычно один.

      После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
       
      При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
      KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
      После перезагрузки запустил автоматический сбор логов.
      Прикладываю файлы сканирования с сервера.
      CollectionLog-2021.08.26-15.38.zip
    • Mikhail_Absorber
      От Mikhail_Absorber
      Добрый день!
      Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
      На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
      Подскажите, пожалуйста, в чем может быть проблема.


    • ArataKun
      От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

×
×
  • Создать...