Перейти к содержанию

Подозрения на вирусы


Рекомендуемые сообщения

Здравствуйте.

Логи приложил.

Подозрения возникли после того, как аваст на некоторых компах начал ругаться.

безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

Логи с сервера, к которому было подключение.

 

на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.

 

Все созданы одной датой - позавчера

Замечал еще такую папку - RDP WRAPPER. Через avz удалил

 

Надеюсь ничего сильно страшного.

 

 

ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж

 

CollectionLog-2023.11.01-12.12.zip

да, в эти папки из far2 не попасть - доступ запрещен

Изменено пользователем ANDREWvl
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В системе действует майнер.

 

57 минут назад, ANDREWvl сказал:

Перезагружать не стал - сервер все ж

Во время лечения придется все же несколько раз перезагружать.

Сообщите ваше решение - переустановка или лечим?

 

Если лечим, первый шаг:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на сообщение
Поделиться на другие сайты

AV_block_remove_2023.11.01-15.47.log

 

 

Майнер на этом сервере или же и на других компах тоже?

которые ругались безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

 

CollectionLog-2023.11.01-16.23.zip

Ссылка на сообщение
Поделиться на другие сайты

Во избежание путаницы мы здесь действуем по принципу один компьютер - одна тема.

Если предполагаете на других ПК заражение, для каждого создайте отдельную тему.

 

Здесь далее:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [Plex Media Server] = C:\ProgramData\Windows Tasks Service\winserv.exe (file missing)
O4 - MountPoints2: HKU\S-1-5-21-872075617-2670255851-2731959993-1115\..\{3250c4dc-e338-11df-a63c-806e6f6e6963}\shell\AutoRun\command: (default) = Z:\EISetup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: {147F7312-9F08-4D7F-AE0A-838B6140D69F} - C:\Users\visor\Desktop\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {BCC5BAFB-4CCA-4D67-8367-AC57D178B5B4} - \192.168.0.105\Consultant\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {CFDDF9F2-4ECA-4AEE-9693-050CE3E232FB} - D:\seatools_enterprise_install.exe (not signed)

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1893754964-1391502266-145683064-1016\...\MountPoints2: {3250c4dc-e338-11df-a63c-806e6f6e6963} - Z:\EISetup.exe
    VirusTotal: C:\Windows\Installer\{E7C5763F-948D-453B-9138-4A8F552B3CE3}\pnaico.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe
    Task: {E6380475-1F0E-4FCE-A74A-C0163E925B93} - \{7AAFAB05-BC5C-4B59-9D46-96823BB1DD20} -> Нет файла <==== ВНИМАНИЕ
    2023-10-30 12:06 - 2023-11-01 16:03 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-10-30 12:06 - 2023-11-01 15:52 - 000000000 ____D C:\ProgramData\RealtekHD
    Unlock: C:\Program Files (x86)\Kaspersky Lab
    Unlock: C:\ProgramData\Kaspersky Lab
    FirewallRules: [{25E98108-DC5B-4BDF-8F44-C60D8F349E79}] => (Allow) LPort=443
    FirewallRules: [{E24964DA-D8FC-49FA-A823-AE94F1BDA80A}] => (Allow) LPort=80
    FirewallRules: [{29176CEA-0BD1-44C8-8234-9637D87CF904}] => (Allow) LPort=8100
    FirewallRules: [{B86934D2-6AEC-414A-993E-EB97B3FB920A}] => (Allow) LPort=22
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Как сейчас себя ведёт система на этом сервере?

 

Пароли на учётные записи администраторов смените. Скорее всего были взломаны.

Не открывайте доступ на RDP наружу. Если есть необходимость, прячьте его за VPN.

 

Ссылка на сообщение
Поделиться на другие сайты

да вроде нормально все.

Только взломаны кем ) вроде все за ISA стоит.

RDP наружу не открываю.

Тот комп, на котором аваст ругался тоже лечить?

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, ANDREWvl сказал:

Тот комп, на котором аваст ругался тоже лечить?

Можем проверить. Напоминаю - в отдельной теме.

Ссылка на сообщение
Поделиться на другие сайты

Ещё, пожалуйста, для улучшения работы наших утилит сделайте следующее:

Из папки AutoLogger\HiJackThis\ запустите программу HijackThis+ и нажмите "Do a system scan and save a logfile", прикрепите лог его работы.

Также, если появилась папка AutoLogger\CrashDumps, пожалуйста, упакуйте ее в архив и прикрепите к сообщению. Если она слишком большая, постарайтесь загрузить на файлообменник ( Яндекс Диск , Zippyshare.com - [now defunct] Free File Hosting , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ ) и дайте на него ссылку в Вашей теме.

Ссылка на сообщение
Поделиться на другие сайты

дампов нет (

 

HiJackThis.log HiJackThis_debug.zip

4 часа назад, ANDREWvl сказал:

Только взломаны кем ) вроде все за ISA стоит.

 

или из каких нибудь вложений почты? просто есть в сети минимум два таких компа. Лечить то понятно надо. Но и понять откуда они взялись. Тем более на этих двух компах пользователи разные абсолютно по характеру использования компа 

Ссылка на сообщение
Поделиться на другие сайты

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

один пользователь с проблемой такой точно не открывал ничего подобного. Может с другого компа по сети попало? ведь не зря зараженный пытается "достучаться" до других компов

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, ANDREWvl сказал:

зараженный пытается "достучаться" до других компов

У этого майнера нет такого функционала. Нужно смотреть логи, возможно там другое заражение.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Crossbean
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
    • ilyaperminov2010
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • KirillR
      От KirillR
      После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.
      Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется
      KVRT - угроз не нашел
      CollectionLog-2024.10.01-11.11.zip
    • bittok23
      От bittok23
      Поймал вирус, сначала решил провести проверку по антивирусу, проверка шла и внезапно комп выключается и врубается снова, потом еще раз и после этого антивирус сам удаляется с устройства. В диспетчере задач при заходе видно что процессор нагружен на 100 и резко падает. Антивирус ничего не нашел после полной проверки, майнер так и остался, что делать я не понимаю
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
×
×
  • Создать...