Подозрения на вирусы

[ANDREWvl]

Здравствуйте.

Логи приложил.

Подозрения возникли после того, как аваст на некоторых компах начал ругаться.

безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

Логи с сервера, к которому было подключение.

 

на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.

 

Все созданы одной датой - позавчера

Замечал еще такую папку - RDP WRAPPER. Через avz удалил

 

Надеюсь ничего сильно страшного.

 

 

ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж

 

CollectionLog-2023.11.01-12.12.zip

да, в эти папки из far2 не попасть - доступ запрещен

Изменено 1 ноября, 2023 пользователем ANDREWvl

[Sandor]

Здравствуйте!

 

В системе действует майнер.

 

57 минут назад, ANDREWvl сказал:

Перезагружать не стал - сервер все ж

Во время лечения придется все же несколько раз перезагружать.

Сообщите ваше решение - переустановка или лечим?

 

Если лечим, первый шаг:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[ANDREWvl]

AV_block_remove_2023.11.01-15.47.log

 

 

Майнер на этом сервере или же и на других компах тоже?

которые ругались безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

 

CollectionLog-2023.11.01-16.23.zip

[Sandor]

Во избежание путаницы мы здесь действуем по принципу один компьютер - одна тема.

Если предполагаете на других ПК заражение, для каждого создайте отдельную тему.

 

Здесь далее:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [Plex Media Server] = C:\ProgramData\Windows Tasks Service\winserv.exe (file missing)
O4 - MountPoints2: HKU\S-1-5-21-872075617-2670255851-2731959993-1115\..\{3250c4dc-e338-11df-a63c-806e6f6e6963}\shell\AutoRun\command: (default) = Z:\EISetup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: {147F7312-9F08-4D7F-AE0A-838B6140D69F} - C:\Users\visor\Desktop\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {BCC5BAFB-4CCA-4D67-8367-AC57D178B5B4} - \192.168.0.105\Consultant\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {CFDDF9F2-4ECA-4AEE-9693-050CE3E232FB} - D:\seatools_enterprise_install.exe (not signed)

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[ANDREWvl]

Addition.txt FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1893754964-1391502266-145683064-1016\...\MountPoints2: {3250c4dc-e338-11df-a63c-806e6f6e6963} - Z:\EISetup.exe
  VirusTotal: C:\Windows\Installer\{E7C5763F-948D-453B-9138-4A8F552B3CE3}\pnaico.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe
  Task: {E6380475-1F0E-4FCE-A74A-C0163E925B93} - \{7AAFAB05-BC5C-4B59-9D46-96823BB1DD20} -> Нет файла <==== ВНИМАНИЕ
  2023-10-30 12:06 - 2023-11-01 16:03 - 000000000 ____D C:\Program Files\RDP Wrapper
  2023-10-30 12:06 - 2023-11-01 15:52 - 000000000 ____D C:\ProgramData\RealtekHD
  Unlock: C:\Program Files (x86)\Kaspersky Lab
  Unlock: C:\ProgramData\Kaspersky Lab
  FirewallRules: [{25E98108-DC5B-4BDF-8F44-C60D8F349E79}] => (Allow) LPort=443
  FirewallRules: [{E24964DA-D8FC-49FA-A823-AE94F1BDA80A}] => (Allow) LPort=80
  FirewallRules: [{29176CEA-0BD1-44C8-8234-9637D87CF904}] => (Allow) LPort=8100
  FirewallRules: [{B86934D2-6AEC-414A-993E-EB97B3FB920A}] => (Allow) LPort=22
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[ANDREWvl]

Fixlog.txt

[Sandor]

Как сейчас себя ведёт система на этом сервере?

 

Пароли на учётные записи администраторов смените. Скорее всего были взломаны.

Не открывайте доступ на RDP наружу. Если есть необходимость, прячьте его за VPN.

 

[ANDREWvl]

да вроде нормально все.

Только взломаны кем ) вроде все за ISA стоит.

RDP наружу не открываю.

Тот комп, на котором аваст ругался тоже лечить?

[Sandor]

8 минут назад, ANDREWvl сказал:

Тот комп, на котором аваст ругался тоже лечить?

Можем проверить. Напоминаю - в отдельной теме.

[Sandor]

Ещё, пожалуйста, для улучшения работы наших утилит сделайте следующее:

Из папки AutoLogger\HiJackThis\ запустите программу HijackThis+ и нажмите "Do a system scan and save a logfile", прикрепите лог его работы.

Также, если появилась папка AutoLogger\CrashDumps, пожалуйста, упакуйте ее в архив и прикрепите к сообщению. Если она слишком большая, постарайтесь загрузить на файлообменник ( Яндекс Диск , Zippyshare.com - [now defunct] Free File Hosting , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ ) и дайте на него ссылку в Вашей теме.

[ANDREWvl]

дампов нет (

 

HiJackThis.log HiJackThis_debug.zip

4 часа назад, ANDREWvl сказал:

Только взломаны кем ) вроде все за ISA стоит.

 

или из каких нибудь вложений почты? просто есть в сети минимум два таких компа. Лечить то понятно надо. Но и понять откуда они взялись. Тем более на этих двух компах пользователи разные абсолютно по характеру использования компа 

[Sandor]

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

[ANDREWvl]

1 час назад, Sandor сказал:

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

один пользователь с проблемой такой точно не открывал ничего подобного. Может с другого компа по сети попало? ведь не зря зараженный пытается "достучаться" до других компов

[Sandor]

14 часов назад, ANDREWvl сказал:

зараженный пытается "достучаться" до других компов

У этого майнера нет такого функционала. Нужно смотреть логи, возможно там другое заражение.