Перейти к содержанию

Подозрения на вирусы


ANDREWvl

Рекомендуемые сообщения

Здравствуйте.

Логи приложил.

Подозрения возникли после того, как аваст на некоторых компах начал ругаться.

безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

Логи с сервера, к которому было подключение.

 

на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.

 

Все созданы одной датой - позавчера

Замечал еще такую папку - RDP WRAPPER. Через avz удалил

 

Надеюсь ничего сильно страшного.

 

 

ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж

 

CollectionLog-2023.11.01-12.12.zip

да, в эти папки из far2 не попасть - доступ запрещен

Изменено пользователем ANDREWvl
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

В системе действует майнер.

 

57 минут назад, ANDREWvl сказал:

Перезагружать не стал - сервер все ж

Во время лечения придется все же несколько раз перезагружать.

Сообщите ваше решение - переустановка или лечим?

 

Если лечим, первый шаг:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты

AV_block_remove_2023.11.01-15.47.log

 

 

Майнер на этом сервере или же и на других компах тоже?

которые ругались безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144

 

CollectionLog-2023.11.01-16.23.zip

Ссылка на комментарий
Поделиться на другие сайты

Во избежание путаницы мы здесь действуем по принципу один компьютер - одна тема.

Если предполагаете на других ПК заражение, для каждого создайте отдельную тему.

 

Здесь далее:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [Plex Media Server] = C:\ProgramData\Windows Tasks Service\winserv.exe (file missing)
O4 - MountPoints2: HKU\S-1-5-21-872075617-2670255851-2731959993-1115\..\{3250c4dc-e338-11df-a63c-806e6f6e6963}\shell\AutoRun\command: (default) = Z:\EISetup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: {147F7312-9F08-4D7F-AE0A-838B6140D69F} - C:\Users\visor\Desktop\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {BCC5BAFB-4CCA-4D67-8367-AC57D178B5B4} - \192.168.0.105\Consultant\seatools_enterprise_install.exe (file missing)
O22 - Tasks: {CFDDF9F2-4ECA-4AEE-9693-050CE3E232FB} - D:\seatools_enterprise_install.exe (not signed)

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1893754964-1391502266-145683064-1016\...\MountPoints2: {3250c4dc-e338-11df-a63c-806e6f6e6963} - Z:\EISetup.exe
    VirusTotal: C:\Windows\Installer\{E7C5763F-948D-453B-9138-4A8F552B3CE3}\pnaico.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe
    Task: {E6380475-1F0E-4FCE-A74A-C0163E925B93} - \{7AAFAB05-BC5C-4B59-9D46-96823BB1DD20} -> Нет файла <==== ВНИМАНИЕ
    2023-10-30 12:06 - 2023-11-01 16:03 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-10-30 12:06 - 2023-11-01 15:52 - 000000000 ____D C:\ProgramData\RealtekHD
    Unlock: C:\Program Files (x86)\Kaspersky Lab
    Unlock: C:\ProgramData\Kaspersky Lab
    FirewallRules: [{25E98108-DC5B-4BDF-8F44-C60D8F349E79}] => (Allow) LPort=443
    FirewallRules: [{E24964DA-D8FC-49FA-A823-AE94F1BDA80A}] => (Allow) LPort=80
    FirewallRules: [{29176CEA-0BD1-44C8-8234-9637D87CF904}] => (Allow) LPort=8100
    FirewallRules: [{B86934D2-6AEC-414A-993E-EB97B3FB920A}] => (Allow) LPort=22
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Как сейчас себя ведёт система на этом сервере?

 

Пароли на учётные записи администраторов смените. Скорее всего были взломаны.

Не открывайте доступ на RDP наружу. Если есть необходимость, прячьте его за VPN.

 

Ссылка на комментарий
Поделиться на другие сайты

да вроде нормально все.

Только взломаны кем ) вроде все за ISA стоит.

RDP наружу не открываю.

Тот комп, на котором аваст ругался тоже лечить?

Ссылка на комментарий
Поделиться на другие сайты

Ещё, пожалуйста, для улучшения работы наших утилит сделайте следующее:

Из папки AutoLogger\HiJackThis\ запустите программу HijackThis+ и нажмите "Do a system scan and save a logfile", прикрепите лог его работы.

Также, если появилась папка AutoLogger\CrashDumps, пожалуйста, упакуйте ее в архив и прикрепите к сообщению. Если она слишком большая, постарайтесь загрузить на файлообменник ( Яндекс Диск , Zippyshare.com - [now defunct] Free File Hosting , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ ) и дайте на него ссылку в Вашей теме.

Ссылка на комментарий
Поделиться на другие сайты

дампов нет (

 

HiJackThis.log HiJackThis_debug.zip

4 часа назад, ANDREWvl сказал:

Только взломаны кем ) вроде все за ISA стоит.

 

или из каких нибудь вложений почты? просто есть в сети минимум два таких компа. Лечить то понятно надо. Но и понять откуда они взялись. Тем более на этих двух компах пользователи разные абсолютно по характеру использования компа 

Ссылка на комментарий
Поделиться на другие сайты

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

Конкретно этот майнер попадает в систему при установке некоего репака (чаще активатора), скачанного с торрента.

То есть, ручной запуск при отключенном антивирусе (в т.ч. Защитнике).

один пользователь с проблемой такой точно не открывал ничего подобного. Может с другого компа по сети попало? ведь не зря зараженный пытается "достучаться" до других компов

Ссылка на комментарий
Поделиться на другие сайты

14 часов назад, ANDREWvl сказал:

зараженный пытается "достучаться" до других компов

У этого майнера нет такого функционала. Нужно смотреть логи, возможно там другое заражение.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tkm
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Control
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
×
×
  • Создать...