Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте.

Логи приложил.

Подозрения возникли после того, как аваст на некоторых компах начал ругаться.

безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

Логи с сервера, к которому было подключение.

 

на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.

 

Все созданы одной датой - позавчера

Замечал еще такую папку - RDP WRAPPER. Через avz удалил

 

Надеюсь ничего сильно страшного.

 

 

ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж

 

CollectionLog-2023.11.01-12.12.zip

да, в эти папки из far2 не попасть - доступ запрещен

Изменено пользователем ANDREWvl
Опубликовано

Здравствуйте!

 

В системе действует майнер.

 

57 минут назад, ANDREWvl сказал:

Перезагружать не стал - сервер все ж

Во время лечения придется все же несколько раз перезагружать.

Сообщите ваше решение - переустановка или лечим?

 

Если лечим, первый шаг:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Опубликовано

Во избежание путаницы мы здесь действуем по принципу один компьютер - одна тема.

Если предполагаете на других ПК заражение, для каждого создайте отдельную тему.

 

Здесь далее:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [Plex Media Server] = C:\ProgramData\Windows Tasks Service\winserv.exe (file missing)
O4 - MountPoints2: HKU\S-1-5-21-872075617-2670255851-2731959993-1115\..\{3250c4dc-e338-11df-a63c-806e6f6e6963}\shell\AutoRun\command: (default) = Z:\EISetup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: {147F7312-9F08-4D7F-AE0A-838B6140D69F} - C:\Users\visor\Desktop\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {BCC5BAFB-4CCA-4D67-8367-AC57D178B5B4} - \192.168.0.105\Consultant\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {CFDDF9F2-4ECA-4AEE-9693-050CE3E232FB} - D:\seatools_enterprise_install.exe (not signed)

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1893754964-1391502266-145683064-1016\...\MountPoints2: {3250c4dc-e338-11df-a63c-806e6f6e6963} - Z:\EISetup.exe
    VirusTotal: C:\Windows\Installer\{E7C5763F-948D-453B-9138-4A8F552B3CE3}\pnaico.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe
    Task: {E6380475-1F0E-4FCE-A74A-C0163E925B93} - \{7AAFAB05-BC5C-4B59-9D46-96823BB1DD20} -> Нет файла <==== ВНИМАНИЕ
    2023-10-30 12:06 - 2023-11-01 16:03 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-10-30 12:06 - 2023-11-01 15:52 - 000000000 ____D C:\ProgramData\RealtekHD
    Unlock: C:\Program Files (x86)\Kaspersky Lab
    Unlock: C:\ProgramData\Kaspersky Lab
    FirewallRules: [{25E98108-DC5B-4BDF-8F44-C60D8F349E79}] => (Allow) LPort=443
    FirewallRules: [{E24964DA-D8FC-49FA-A823-AE94F1BDA80A}] => (Allow) LPort=80
    FirewallRules: [{29176CEA-0BD1-44C8-8234-9637D87CF904}] => (Allow) LPort=8100
    FirewallRules: [{B86934D2-6AEC-414A-993E-EB97B3FB920A}] => (Allow) LPort=22
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Опубликовано

Как сейчас себя ведёт система на этом сервере?

 

Пароли на учётные записи администраторов смените. Скорее всего были взломаны.

Не открывайте доступ на RDP наружу. Если есть необходимость, прячьте его за VPN.

 

Опубликовано

да вроде нормально все.

Только взломаны кем ) вроде все за ISA стоит.

RDP наружу не открываю.

Тот комп, на котором аваст ругался тоже лечить?

Опубликовано
8 минут назад, ANDREWvl сказал:

Тот комп, на котором аваст ругался тоже лечить?

Можем проверить. Напоминаю - в отдельной теме.

Опубликовано

Ещё, пожалуйста, для улучшения работы наших утилит сделайте следующее:

Из папки AutoLogger\HiJackThis\ запустите программу HijackThis+ и нажмите "Do a system scan and save a logfile", прикрепите лог его работы.

Также, если появилась папка AutoLogger\CrashDumps, пожалуйста, упакуйте ее в архив и прикрепите к сообщению. Если она слишком большая, постарайтесь загрузить на файлообменник ( Яндекс Диск , Zippyshare.com - [now defunct] Free File Hosting , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ ) и дайте на него ссылку в Вашей теме.

Опубликовано

дампов нет (

 

HiJackThis.log HiJackThis_debug.zip

4 часа назад, ANDREWvl сказал:

Только взломаны кем ) вроде все за ISA стоит.

 

или из каких нибудь вложений почты? просто есть в сети минимум два таких компа. Лечить то понятно надо. Но и понять откуда они взялись. Тем более на этих двух компах пользователи разные абсолютно по характеру использования компа 

Опубликовано

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

Опубликовано
1 час назад, Sandor сказал:

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

один пользователь с проблемой такой точно не открывал ничего подобного. Может с другого компа по сети попало? ведь не зря зараженный пытается "достучаться" до других компов

Опубликовано
14 часов назад, ANDREWvl сказал:

зараженный пытается "достучаться" до других компов

У этого майнера нет такого функционала. Нужно смотреть логи, возможно там другое заражение.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • foxlape
      Автор foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Salieri
      Автор Salieri
      Здравствуйте, упала производительность, начал сильно греться, подозрения на вирус, логи ниже.CollectionLog-2024.01.21-21.42.zip
    • Player..
      Автор Player..
      Здравствуйте! Стал замечать неожиданное открытие консоли, на протяжении 2-х дней, так-же замедления в системе, мне кажется что вирус.
      Ниже прикрепляю логи!
      CollectionLog-2023.10.27-21.01.zip
    • Арслан1
      Автор Арслан1
      Добрый вечер. Я часто обнаруживаю на своем телефоне (андроид) включённым геолокацию, хотя я его всё время отключаю. Я подозреваю что отслеживают моё местоположение. Подскажите пожалуйста как можно защититься от отслеживания моего местоположения с помощью продукта 
       Касперского, какой антивирус необходимо приобрести?
       
      Сообщение от модератора thyrex Перенесено из вирусобойни  
    • SorcerOK
      Автор SorcerOK
      Начал медленно работать компьютер. Фризит даже при открытии папки.
      CollectionLog-2023.09.21-20.23.zip
×
×
  • Создать...