[РЕШЕНО] Поймали вирусы, переименовались службы

[Dmitriy_23]

Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:

wuauserv_bkp
UsoSvc_bkp
BITS_bkp
WaaSMedicSvc_bkp
dosvc_bkp

Файлы логов AutoLogger, FRST в вложении.

 

FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z

[safety]

Добавьте, пожалуйста, отчеты из KVRT

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Dmitriy_23]

Предоставляем отчеты из KVRT, образ автозапуска в uVS

SASERVER_2025-01-23_08-37-48_v4.99.6v x64.7z Reports.7z

[safety]

13 часов назад, Dmitriy_23 сказал:

Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами.

Да, надо выполнить рекомендации из отчета KVRT, через задачу C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64

запускается powershell с деструктивной функцией.

 

[safety]

Выполняем очистку системы без перезагрузки системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\SETUP.EXE
delref WD_EXCLUSION:\.EXE
delref %SystemDrive%\USERS\USER_2\APPDATA\LOCAL\TEMP\DCONTROL.EXE
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
apply

QUIT

далее,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Сделайте еще раз проверку в KVRT

отчет о новой проверке добавьте в ваше сообщение.

[safety]

14 часов назад, Dmitriy_23 сказал:

Также в системе было обнаружено переименование служб:

wuauserv_bkp
UsoSvc_bkp
BITS_bkp
WaaSMedicSvc_bkp
dosvc_bkp

Файлы логов AutoLogger, FRST в вложении.

По исправлению.

Твики для восстановления работы системных служб имеет смысл извлечь из реестра подобной чистой системы

Windows Server 2019 Standard 1809 x64 (NT v10.0 SP0) build 17763  [C:\WINDOWS]

Чуть позже (после завершения очистки) напишу алгоритм восстановления системных, и удаления подменных служб

[Dmitriy_23]

Рекомендации выполнены.

report_2025.01.23_11.12.59.klr.enc1.7z 2025-01-23_11-11-47_log.txt

 

6 часов назад, safety сказал:

Твики для восстановления работы системных служб имеет смысл извлечь из реестра подобной чистой системы

Импортировал ветки реестра из рабочей (чистой) системы

[safety]

Хорошо,

 

судя по логу выполнения скрипта

Завершение процессов...

Цитата

Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=17480]
Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=27024]
Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=29860]
Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=42220]
Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=43120]
Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=43272]

Удаление ссылок...
(!) Обнаружен подозрительно длинный параметр в файле: C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64

 

задача должна была быть удалена,

добавьте, пожалуйста, новый образ автозапуска для контроля.

Изменено 23 января пользователем safety

[Dmitriy_23]

Рекомендации выполнены.

SASERVER_2025-01-23_12-12-44_v4.99.6v x64.7z

[safety]

По новому образу:

powershell нет в процессах, значит задача с его запуском не запустилась, т.е. задача удалена. И это главное.

+

разработчик запросил этот файл для исправления:

Цитата

Ошибка компиляции json, отправьте указанный файл для решения проблемы:
C:\USERS\USER_9\APPDATA\LOCAL\Google\Chrome\User Data\Default\Preferences

-------------

 

По восстановлению работы поврежденных служб:

 

Запускаем каждый из полученных вами файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2024-05-02] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2024-05-02] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usocore.dll [907264 2024-08-28] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [360960 2024-05-02] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2024-05-02] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Изменено 23 января пользователем safety

[Dmitriy_23]

44 минуты назад, safety сказал:

+

разработчик запросил этот файл для исправления:

Запаковал файл

Preferences.7z

[safety]

Хорошо, по файлу отпишу позже, ждем логи FRST после восстановления служб и очистки левых служб.

[Dmitriy_23]

1 час назад, safety сказал:

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Выполнено

Fixlog.txt FRST.txt

[safety]

службы _bkp очищены.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[Dmitriy_23]

3 часа назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.

Выполнено.

SecurityCheck.txt

 

6 часов назад, safety сказал:

через задачу C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64

запускается powershell с деструктивной функцией.

Я правильно понимаю, что это майнер?