Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

 

На нескольких компьютерах начали появляться процессы PowerShell нагружающие CPU. Иногда в c:\windows\temp либо в c:\windows\users\*username*\appdata\local\temp появляются файлы cohernece.exe, и часто java-log-9527.log плюс a25hY2tlcmVk.txt с паролями в открытом виде. Определяется KVRT под несколькими названиями: trojan.multi.genautoruntask.c, trojan.multi.genautoruntaskfile.a, trojan.multi.genautorunwmi.a., Trojan.Win32.Skillis.blru Windows Defender определяет как Nitol.B. Ни тот, ни другой его не лечат. Причем на некоторых компьютерах cohernece.exe определяется KVRT, на некоторых не определяется.

 

Заранее спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Причем на некоторых компьютерах

Для каждого компьютера отдельная тема.
Ссылка на сообщение
Поделиться на другие сайты

Да, в курсе, извините - лог не прицепился в первом сообщении.

 

Это лог с первой машины, конкретно здесь нашлись файл java-log-9527 и троян Trojan.Multi.GenAutorunWMI.A

CollectionLog-2019.06.05-17.14.zip

Изменено пользователем IvanVasil
Ссылка на сообщение
Поделиться на другие сайты

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

3. "Пофиксите" в HijackThis:

O25 - WMI Event:  (no consumer) - Systems Manage Filter - Event="__InstanceModificationEvent WITHIN 5601 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

1. https://virusinfo.info/virusdetector/report.php?md5=0311F5AB28B0FFF54BCC906026FD2B9D

Он в карантин забрал кучу dll, defender, skype.

 

2. Скрипт не работает. Undeclared identifier: "DeleteSchedulerTask" в позиции 2:21

 

3. Выполнил

 

4. Лог прилагаю

CollectionLog-2019.06.06-09.35.zip

Ссылка на сообщение
Поделиться на другие сайты

Скрипт не работает. Undeclared identifier

AVZ следует запускать эту (как и сказано в инструкции):

 

C:\AV\AutoLogger\AVZ\avz.exe

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Включил Defender, пока ничего не выводит.

 

А из карантина AVZ можно восстановить все? А то часть приложений стала некорректно работать.

Ссылка на сообщение
Поделиться на другие сайты

из карантина AVZ можно восстановить все?

Ничего не удалялось.

 

часть приложений стала некорректно работать

Каких именно?
Ссылка на сообщение
Поделиться на другие сайты

Skype сбросил все настройки и запускается в 3-4 экземплярах, Хром ругается на отсутствие dll. Ну не страшно, я их переустановлю полностью.

 

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Burila
      От Burila
      В корпоративной сети появился и разползся вирус. 

      Антивирусы определяют его как:
      HEUR:Trojan.Multi.GenAutorunSvc.ksws    [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с)    [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452    [DrWeb CureIT]  
      Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
      Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
       
      Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
      После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
       
      Прошу проконсультировать:
      1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
      2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
      3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
      Заранее благодарю.
       
      Это была преамбула, теперь более развернутая информация:
       
      Сервера:

      С их диагностики всё началось, с ними же грустнее всего.
      В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
      После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
      Находилось следующее:
       
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
      Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH 
       
      После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
      Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
      Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет. 
      И, возможно, еще что-то делает не такое явное.
      Блок сообщений с одного из серверов:
       
      Время: 26.08.2021 2:06:54
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer 
       
      Время: 26.08.2021 2:06:55
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 
       
      Время: 26.08.2021 2:50:51
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      Время: 26.08.2021 6:55:28
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1 
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      На других серверах дополнительно появляются сообщения с другими пользователями и процессом:
       
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: localhost
      Пользователь: WORKGROUP\FIL-T2$
      Имя процесса: services.exe
      PID: 764
       
      Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
      Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      Компьютер: VIRTUALMACHINE
      Пользователь: VIRTUALMACHINE\Администратор
      Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
       
      Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
      Имя объекта: C:\Windows\System32\mue.exe 
      MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
      Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
      Компьютер: network
      Пользователь: VIRTUALMACHINE\Администратор

      Клиентские компьютеры:

      Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
      При отключения Касперского машина заражается.
      Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса: 
      Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
      Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
       
      Объект: powershell.exe
      Угроза: PowerShellDownLoader.1452
      Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
       
      Объект: CommandLineTemplate
      Угроза: PowerShellMulDrop.129
      Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate
       
      powershell.exe может быть несколько, CommandLineTemplate обычно один.

      После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
       
      При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
      KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
      После перезагрузки запустил автоматический сбор логов.
      Прикладываю файлы сканирования с сервера.
      CollectionLog-2021.08.26-15.38.zip
    • nikhopka
      От nikhopka
      Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).
      После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.
      Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.
      Сам майнер заблочила штатными средствами.
       
      Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.
      CollectionLog-2020.03.22-20.18.zip
    • IvanVasil
      От IvanVasil
      Добрый день.
      Прошу помочь избавиться от вируса в корпоративной сети.

      В сети гуляет троян, определяемый утилитой KVRT как Trojan.Win32.Skillis.blru (В тегах указал определения прочих популярных антивирусов с virustotal)
      Он запускает скрипты powershell (вероятно майнинговые, так как процесс грузит CPU на 60-80%). При принудительном завершении процесса - через некоторое время (около 1 часа) запускается снова.
      После проникновения вируса появляются данные файлы:
      C:\Windows\Temp\сohernece.exe
      C:\Windows\Temp\java-log-9527.txt
      C:\Users\xxxx\AppData\Local\Temp\сohernece.exe
      C:\Windows\System32\Tasks\WindowsLogTasks
      C:\Windows\System32\Tasks\System Log Security Check

      Также в каталоге C:\Windows\Temp\ появляется текстовый файл с именем a25hY2tlcmVk.txt в котором в явном виде лежат пароли от учеток (иногда доменных)
      Скрипты запускаются по-разному на разных машинах - встречались под локальными учетками, доменными, и под учеткой SYSTEM.

      Вирус распространяется только в пределах одной подсети (у нас несколько сетей порезаных VLAN), поражает как хосты, так и виртуальные машины на них.
      При возможности прошу помочь с созданием скрипта AVZ для сканирования по сети.

      Прилагаю логи с одной из машин.
      CollectionLog-2019.05.08-17.49.zip



    • IvanVasil
      От IvanVasil
      Доброго дня.
      Прошу помочь очистить сеть из нескольких машин от вируса-майнера.
      Просканировал одну из машин утилитой KVRT, во вложении CollectionLog после проверки.
      Заранее спасибо.
       
      CollectionLog-2019.04.23-02.09.zip
×
×
  • Создать...