darkcomet rat [РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость

[KZMZ]

на мой документах стоят не понятный файл который не удаляется

вот логи с AVZ5 и FRST

Addition.txt avz_log.txt FRST.txt

[safety]

Возможно в системе активный бэкдор.

(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

 

 

Сделайте, дополнительно

 

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 30 октября пользователем safety

[KZMZ]

крашится при запуске  нажатий"запустить под текущим пользователем"

[safety]

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

Изменено 30 октября пользователем safety

[safety]

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Users\SQL\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-4150820699-1111902150-1132954-500\...\Run: [DarkComet RAT] => C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe [238080 2020-07-28] (Доступ не разрешён)  [Файл не подписан]
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба
2024-10-30 08:36 - 2024-10-30 08:36 - 000000000 ____D C:\Users\Администратор\Documents\DCSCMIN
2024-10-14 00:11 - 2023-05-29 15:45 - 000372042 _____ C:\Users\SQL\Desktop\toolconfig.rar
2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe
2024-10-14 00:07 - 2024-10-14 00:07 - 008038345 _____ C:\Users\SQL\Desktop\NLBrute 32bit.zip
2024-10-14 00:05 - 2024-10-14 00:05 - 000000000 ____D C:\Users\SQL\Desktop\NLB-Notepad Edition
2024-10-14 00:04 - 2023-09-12 12:02 - 009850366 _____ C:\Users\SQL\Desktop\NLB-Notepad.rar
2024-10-14 00:03 - 2024-10-14 00:03 - 000000000 ____D C:\Users\SQL\Documents\DCSCMIN
Reboot
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Изменено 30 октября пользователем safety

[KZMZ]

1 час назад, safety сказал:

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

физ доступ есть да я просто удаленно захожу через анидиск

[safety]

Возможно, придется лечиться либо из безопасного режима, либо из под Winpe, так как есть активное противодействие со стороны руткита.

 

Возможно цель злоумышленников - использовать данный сервер для продвижения по локальной сети. будьте внимательны. Возможно атака с шифровальщиком.

Изменено 30 октября пользователем safety

[KZMZ]

4 часа назад, safety сказал:

 

 

Fixlog.txt

 

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Скинул на ЛС

Изменено 30 октября пользователем safety

[safety]

Судя по очистке, что-то получилось.

Новые логи FRST сделайте. пожалуйста, для контроля

[KZMZ]

вот новые логи

Addition.txt FRST.txt

[safety]

Проверьте файл на Virustotal.com, дайте ссылку на результат проверки.

ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH) [Файл не подписан] <==== ВНИМАНИЕ

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Изменено 30 октября пользователем safety

[KZMZ]

https://www.virustotal.com/gui/file/fa0f2e683c50d4908381e6ef16edcec29cc3f1d225b63de58f83d1c9bd854ff9/detection

по анидиск я удаленно захожу

[safety]

24 минуты назад, KZMZ сказал:

https://www.virustotal.com/gui/file/fa0f2e683c50d4908381e6ef16edcec29cc3f1d225b63de58f83d1c9bd854ff9/detection

по анидиск я удаленно захожу

да , вижу что файл чистый.

Signed file, valid signature

 

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Если uVS так же с ошибкой будет запускаться из Safe mode, пробуйте тот же скрипт для FRST выполнить из безопасного режима. + добавить после этого новый Fixlog.txt (посмотрим, достанет он в SM заблокированную службу или придется лечиться из под Winpe).

 

по файлам:

C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

Kaspersky Backdoor.Win32.DarkKomet.aagt

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe

ESET-NOD32 Win32/HackTool.BruteForce.UP

https://www.virustotal.com/gui/file/ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

Изменено 30 октября пользователем safety

[safety]

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

[KZMZ]

2 часа назад, safety сказал:

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

левая да, у меня только  1 учетка администратор - не левая

Изменено 30 октября пользователем KZMZ