Кто-то пытается подобрать obfuscation-фразу используя qBittorent

[denixx 0]

Добрый день!

Кто-то тут брутфорсит, видимо, мой Bitvise SSH Server, пытаясь подобрать пароль к порту с обфускацией протокола.

Замечено, что занимается этим, почему-то, qBittorrent, запросы прилетают якобы от него.
"  TCP    127.0.0.1:51664        127.84.118.67:444      ESTABLISHED [qbittorrent.exe]

  TCP    127.84.118.67:444      127.0.0.1:51664        ESTABLISHED [bvSshServer.exe]"

 

KTS проверил вчера систему (давно хотел слезть с аваста), но кроме AutoKMS и ещё пары вещей в ISO-образах ничего не нашёл.

Также перед этим банально удалил и установил заново qBittorrent без удаления пользовательских данных - ничего не изменилось.

 

Комп вполне жирный, так что кто-то видать решил поживиться.

Сижу под пользовательской учёткой, включая админские права в случае необходмиости.

В панели управления SSH вот такая картинка в событиях:

 Скриншот:

 

Прикладываю логи скрипта.

CollectionLog-2016.05.02-11.14.zip

[mike 1 1 093]

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[denixx 0]

Обновился успешно, запущено в такой конфигурации:

Скриншот:

 

Может галку "проверка на наличие руткитов" тоже следовало включить? В KTS выключил защиту на время проверки. Или можно включить обратно?

Как это обычно бывает, подозрения начали падать на всё, что шевелится

Процесс dwm.exe (диспетчер окон рабочего стола) внезапно начал кушать проц.

Как раз во время проверки mbam'ом.

Может быть этот некто ещё и подсматривает?

Скриншоты:

 

 

Окей, проверка завершена, прикладываю отчёт.

 

Интересно... Активность пока прекратилась, сейчас не брутфорсится.

Я просто заглянул в панель управления SSH, и там новых сообщений уже не появляется.

Но система настойчиво предлагает мне изменить оформление окошек на упрощённое, мол не хватает ресурсов.

<event seq="4290" time="2016-05-02 16:11:53.647253 +0300" app="BvSshServer ..." name="I_CONNECT_ACCEPTED" desc="Connection accepted.">
    <session id="2235" remoteAddress="127.0.0.1:57690"/>
    <parameters addressRule="AnyIP" listenAddress="127.84.118.67:444"/>
  </event>

Вот последняя запись в логе, связанная с этим странным поведением.

А стартанула машина 

<start time="2016-05-01 13:40:42.458649 +0300" 

Почуял неладное

Наверняка какая-то лазейка осталась.

 

Окей, думаю, что разгадка кроется в постоянных сообщениях "перйдите в упрощённый режим графики".

На всякий случай добавляю новый отчёт AutoLogger'а

Отлично, теперь dwm грузит проц только тогда, когда не запущен диспетчер задач

Это становится всё забавнее.

MBAM_report.txt

CollectionLog-2016.05.02-19.27.zip

[mike 1 1 093]

Удалите в MBAM только это:

Папки: 2
PUP.Optional.Spigot, c:\users\andrey\appdata\local\google\chrome\user data\default\extensions\gpiifgmgnfdiblgpaepbmfdkcheicgof, , [1ffb01d005943afcaa444ae85ca741bf], 
PUP.Optional.Spigot, c:\users\andrey\appdata\local\google\chrome\user data\default\extensions\nlcphjankhppgohedpkjonpadimhaoof, , [50ca923fc0d90b2b0ae7d75b5da638c8], 

Файлы: 22
PUP.Optional.LoadMoney, E:\Incoming\Mamko\Downloads\irina-allegrova-diskografiya-1992-2010-mr3 (2).exe, , [1109448d316842f485dad8fbab5610f0], 
PUP.Optional.LoadMoney, E:\Incoming\Mamko\Downloads\irina-allegrova-diskografiya-1992-2010-mr3.exe, , [c55559782c6d89adf16e0cc7dd246799], 

[denixx 0]

Удалил.

Дальше строки из ProcessExplorer, в конце строки команда запуска.
Подскажите, как понять, что это за процессы:

dllhost.exe dllhost.exe < 0.01 8 012 K 9 956 K 4896 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{3EB3C877-1F16-487C-9050-104DBCD66683}

dllhost.exe dllhost.exe 3 112 K 6 924 K 4272 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}

Второй может самоустраниться, а первый висит постоянно.

 

И ещё вот такое имеется

conhost.exe conhost.exe < 0.01 1 580 K 3 580 K 3744 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "-98339983-1899747981708782219-1973187624-1531241729304711701875379104133298917

conhost.exe conhost.exe < 0.01 1 576 K 3 584 K 3964 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "1739072410-299988461-111461507618417995661901678787-1783581005-13643333941116045042

conhost.exe conhost.exe 2 304 K 5 512 K 7320 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "-925743776-63078778-13397177243203985641004146841461109282-17832043441353562902

 

Здесь два вроде как связаны с Tomcat'ами. Не могу понять, чей третий...

dllhost.exe dllhost.exe 3 424 K 7 720 K 5460 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

[mike 1 1 093]

Это нормальные записи.