Dmitriy_23 Опубликовано 22 января Share Опубликовано 22 января Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб: wuauserv_bkp UsoSvc_bkp BITS_bkp WaaSMedicSvc_bkp dosvc_bkp Файлы логов AutoLogger, FRST в вложении. FRST64.7zПолучение информации... CollectionLog-2025.01.22-21.20.zipПолучение информации... CollectionLog-2025.01.22-21.01.7zПолучение информации... FRST64.7zПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января Добавьте, пожалуйста, отчеты из KVRT + Добавьте, дополнительно, образ автозапуска в uVS 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января Предоставляем отчеты из KVRT, образ автозапуска в uVS SASERVER_2025-01-23_08-37-48_v4.99.6v x64.7zПолучение информации... Reports.7zПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января 22.01.2025 в 18:25, Dmitriy_23 сказал: Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Expand Да, надо выполнить рекомендации из отчета KVRT, через задачу C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64 запускается powershell с деструктивной функцией. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января Выполняем очистку системы без перезагрузки системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. ;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- unload %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\SETUP.EXE delref WD_EXCLUSION:\.EXE delref %SystemDrive%\USERS\USER_2\APPDATA\LOCAL\TEMP\DCONTROL.EXE delref %SystemDrive%\PROGRAMDATA delref %Sys32%\CONFIG\SYSTEMPROFILE apply QUIT далее, Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Сделайте еще раз проверку в KVRT отчет о новой проверке добавьте в ваше сообщение. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января 22.01.2025 в 18:25, Dmitriy_23 сказал: Также в системе было обнаружено переименование служб: wuauserv_bkp UsoSvc_bkp BITS_bkp WaaSMedicSvc_bkp dosvc_bkp Файлы логов AutoLogger, FRST в вложении. Expand По исправлению. Твики для восстановления работы системных служб имеет смысл извлечь из реестра подобной чистой системы Windows Server 2019 Standard 1809 x64 (NT v10.0 SP0) build 17763 [C:\WINDOWS] Чуть позже (после завершения очистки) напишу алгоритм восстановления системных, и удаления подменных служб Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января Рекомендации выполнены. report_2025.01.23_11.12.59.klr.enc1.7zПолучение информации... 2025-01-23_11-11-47_log.txtПолучение информации... 23.01.2025 в 08:30, safety сказал: Твики для восстановления работы системных служб имеет смысл извлечь из реестра подобной чистой системы Expand Импортировал ветки реестра из рабочей (чистой) системы Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января (изменено) Хорошо, судя по логу выполнения скрипта Завершение процессов... Цитата Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=17480] Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=27024] Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=29860] Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=42220] Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=43120] Успешно выгружен C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [pid=43272] Expand Удаление ссылок... (!) Обнаружен подозрительно длинный параметр в файле: C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64 задача должна была быть удалена, добавьте, пожалуйста, новый образ автозапуска для контроля. Изменено 23 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января Рекомендации выполнены. SASERVER_2025-01-23_12-12-44_v4.99.6v x64.7zПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января (изменено) По новому образу: powershell нет в процессах, значит задача с его запуском не запустилась, т.е. задача удалена. И это главное. + разработчик запросил этот файл для исправления: Цитата Ошибка компиляции json, отправьте указанный файл для решения проблемы: C:\USERS\USER_9\APPDATA\LOCAL\Google\Chrome\User Data\Default\Preferences Expand ------------- По восстановлению работы поврежденных служб: Запускаем каждый из полученных вами файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему, Далее, Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2024-05-02] (Microsoft Windows -> Microsoft Corporation) S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2024-05-02] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usocore.dll [907264 2024-08-28] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [360960 2024-05-02] (Microsoft Windows -> Microsoft Corporation) S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2024-05-02] (Microsoft Windows -> Microsoft Corporation) Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Сделайте новые логи FRST для контроля. Изменено 23 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января 23.01.2025 в 09:41, safety сказал: + разработчик запросил этот файл для исправления: Expand Запаковал файл Preferences.7zПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января Хорошо, по файлу отпишу позже, ждем логи FRST после восстановления служб и очистки левых служб. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января 23.01.2025 в 09:41, safety сказал: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Сделайте новые логи FRST для контроля. Expand Выполнено Fixlog.txtПолучение информации... FRST.txtПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января службы _bkp очищены. завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy_23 Опубликовано 23 января Автор Share Опубликовано 23 января 23.01.2025 в 10:57, safety сказал: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Expand Выполнено. SecurityCheck.txtПолучение информации... 23.01.2025 в 07:45, safety сказал: через задачу C:\WINDOWS\SYSTEM32\TASKS\DIALERSVC64 запускается powershell с деструктивной функцией. Expand Я правильно понимаю, что это майнер? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения