Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить

nikhopka

Автор nikhopka
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

nikhopka

nikhopka

Опубликовано
Опубликовано

Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).

После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.

Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.

Сам майнер заблочила штатными средствами.

 

Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.

CollectionLog-2020.03.22-20.18.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Что из следущего вам известно?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - 3AD010247A8F1E991F8DDE5D47989CB5202E5614 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6A2C691767C2F1999B8C020CBAB44756A99A0C41 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - 8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 - DarkMatter High Assurance CA
O7 - Policy: [Untrusted Certificate] HKLM - 9FEB091E053D1C453C789E8E9C446D31CB177ED9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1
O7 - Policy: [Untrusted Certificate] HKLM - D3FD325D0F2259F693DD789430E3A9430BB59B98 - DarkMatter High Assurance CA
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

  • Спасибо (+1) 1
nikhopka

nikhopka

Опубликовано
  • Автор
Опубликовано

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 
Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.
 

Что из следущего вам известно?

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?
 

HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксила.

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Прикрепила.

 

Addition.txt

FRST.txt

SQ

SQ

Опубликовано
Опубликовано

 

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 

Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

А меняли пароли после этого?

 

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

Но сами вы их не помечали как недоверенные?

 

 

Остались остатки от Zenama на вашем сервере:

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

Сделайте резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
CreateRestorePoint:
Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
File: C:\Windows\system32\wuaueng2.dll
File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Windows\system32\MOSCHIP_PciUninst.exe
File: C:\Windows\system32\MOSCHIP_StnUninst.exe
File: C:\Windows\Activator.exe
File: C:\Users\ss\Downloads\ritm.conf.exe
Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
Virustotal: C:\Windows\Activator.exe
Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите  через данную форму

 

 

 

Похоже на вредоносные записи, они вам знакомы?

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
  • Спасибо (+1) 1
SQ

SQ

Опубликовано
Опубликовано

Уточните пожалуйста, вам еще нужна помощь?

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

  • Спасибо (+1) 1
nikhopka

nikhopka

Опубликовано
  • Автор
Опубликовано (изменено)

Уточните пожалуйста, вам еще нужна помощь?

 

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

Да, извините, просто я могу этим заниматься только по выходным.

 

 

А меняли пароли после этого?

Где конкретно?

 

 

Но сами вы их не помечали как недоверенные?

Нет.

 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

 

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Это придётся до завтра отложить. Завтра выложу.

 

 

Похоже на вредоносные записи, они вам знакомы?

Как удалить эти вредоносные строки?

Изменено пользователем nikhopka
SQ

SQ

Опубликовано
Опубликовано

Это придётся до завтра отложить. Завтра выложу.

Если только ранее не выполняли, то я то выполните следующий.

 

 

Как удалить эти вредоносные строки?

Я добавил вредоносные строки в исправление.

 

Желательно перед следующими манипуляциями сделать минимум одну резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
File: C:\Windows\system32\wuaueng2.dll
File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Windows\system32\MOSCHIP_PciUninst.exe
File: C:\Windows\system32\MOSCHIP_StnUninst.exe
File: C:\Windows\Activator.exe
File: C:\Users\ss\Downloads\ritm.conf.exe
Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
Virustotal: C:\Windows\Activator.exe
Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму .

  • Спасибо (+1) 1
nikhopka

nikhopka

Опубликовано
  • Автор
Опубликовано (изменено)

@SQ



File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Users\ss\Downloads\ritm.conf.exe

Эти вещи я, кажется, знаю (они запущены постоянно): 
VSPE - программа для просбросов портов;
ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива).
 

Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt
 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:
post-57841-0-33722400-1585442748_thumb.png
 
Что делать дальше?

PS. А эти моменты актуальны? Поясните, пожалуйста.

А меняли пароли после этого?

Где конкретно?

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

Изменено пользователем nikhopka
SQ

SQ

Опубликовано
Опубликовано

Похоже ваш сервер был заражен Bondnet (сервер использовался как ботнет), скорее всего был взломан через MySQL. Вам желательно необходимо убедиться, что Ваш MySQL Server обновлен и не уязвим к известным уязвимостям. Найденный записи в wmi на вашем сервер это подверждат, а также согласно утилите на gidhub по удалению этого типа ботнета.

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?
P.S. Возможно спомощью их вы узнаете на какие сервера производились аттаки с вашего сервера.

 

 

А меняли пароли после этого?

Где конкретно?

 

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.
 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

Уточните пожалуйста, что с проблемой?

Могли бы приложить новые логи утилиты FRST (frst.txt и addition.txt), чтобы убедиться, что все прошло хорошо?
 

 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 


Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

  • Спасибо (+1) 1
nikhopka

nikhopka

Опубликовано
  • Автор
Опубликовано (изменено)

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.

Сделано, сервер недоступен извне, БД вроде недоступна извне.

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

 

Уточните пожалуйста, что с проблемой?

MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился.

post-57841-0-46604400-1585446183_thumb.png

Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли?

post-57841-0-24209800-1585446190_thumb.pngpost-57841-0-06299200-1585446194_thumb.png

Могли бы приложить новые логи утилиты FRST, чтобы убедиться, что все прошло хорошо?

FRST.txtAddition.txt

 

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?

Нет ни того, ни другого.

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?

Изменено пользователем nikhopka
SQ

SQ

Опубликовано
Опубликовано

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

Нет, просто есть записи в реестре о драйверах антивирусного ПО Zemana.

 

 

Согласно логам осталось еще одна вредоносная запись.

 

По возможности сделайте резервную копию состояния системы (System State backup) перед манипуляциями.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

UPD:

Пришел ответ от ВирЛаба касаемо вашего карантина:

==================

В присланном Вами файле не найдено ничего вредоносного.

==================

  • Спасибо (+1) 1
nikhopka

nikhopka

Опубликовано
  • Автор
Опубликовано (изменено)

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt

 

Что делать дальше (кроме MySQL - это я поняла)?

Изменено пользователем nikhopka
SQ

SQ

Опубликовано
Опубликовано

Проверьте пожалуйста, что с проблемой?

P.S. В  ЛС (личным сообщением, вверху форума вы увидете конвертик) я отправил вам рекомендации от ЛК.

  • Спасибо (+1) 1
SQ

SQ

Опубликовано
Опубликовано

В логах кроме предупреждений о битых записях Zemana, ничего плохого не вижу. Сообщите, если проблем еще воспроизводиться?
 


==================== Faulty Device Manager Devices ============

Name: ZAM Helper Driver
Description: ZAM Helper Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: ZAM Guard Driver
Description: ZAM Guard Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM_Guard
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

- Если хотите это убрать, то можете попробовать выполнить следующие рекомендации в безопасном режиме:
- Также лучше сделать резерную копию состояния системы, так как изменения будут производиться в реестре, чтобы в случае неудачи, можно было откатить состояние работы системы.
 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.
  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vsevolod0004
      Что-то в системной памяти
      Автор Vsevolod0004
      Добрый вечер. После установки торрента подцепил что-то, в названии не уверен, похоже на genbaldur или похожее. Находится в system memory. Полная проверка нашла, начала лечить, перезагрузила компьютер, после чего повторная проверка опять нашла это что-то. Но после нажатия на уведомления центр уведомлений ничего не выдает, и Касперский больше уведомлений не присылает.


      CollectionLog-2025.01.19-16.51.zip
    • Elenaaa
      Безопасно ли нажимать "устранить" в данном случае?
      Автор Elenaaa
      При быстрой проверке смутило то, что появилась кнопка "устранить" рядом с System Memory. Безопасно ли нажимать, и что вообще происходит в данной ситуации, если нажать?

    • anariel_m
      Троян в памяти
      Автор anariel_m
      Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

      Буду очень благодарна за помощь.
      CollectionLog-2022.10.19-20.01.zip
    • Burila
      Заражение корпоративной сети: зловред Trojan.Multi.GenAutorunWMI.с (или .a), он же HEUR:Trojan.Multi.GenAutorunSvc.ksws, он же PowerShellMulDrop.129/PowerShellDownLoader.1452
      Автор Burila
      В корпоративной сети появился и разползся вирус. 

      Антивирусы определяют его как:
      HEUR:Trojan.Multi.GenAutorunSvc.ksws    [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с)    [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452    [DrWeb CureIT]  
      Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
      Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
       
      Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
      После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
       
      Прошу проконсультировать:
      1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
      2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
      3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
      Заранее благодарю.
       
      Это была преамбула, теперь более развернутая информация:
       
      Сервера:

      С их диагностики всё началось, с ними же грустнее всего.
      В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
      После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
      Находилось следующее:
       
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
      Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH 
       
      После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
      Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
      Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет. 
      И, возможно, еще что-то делает не такое явное.
      Блок сообщений с одного из серверов:
       
      Время: 26.08.2021 2:06:54
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer 
       
      Время: 26.08.2021 2:06:55
      Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
      Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2 
       
      Время: 26.08.2021 2:50:51
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      Время: 26.08.2021 6:55:28
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1 
      Компьютер: network
      Пользователь: KR-TERM\Администратор
      Имя процесса: wmiprvse.exe
      PID: 3884
       
      На других серверах дополнительно появляются сообщения с другими пользователями и процессом:
       
      Обнаружен веб-адрес.    .
      Имя объекта: http://45.10.69.139:8000/in6.ps1
      Компьютер: localhost
      Пользователь: WORKGROUP\FIL-T2$
      Имя процесса: services.exe
      PID: 764
       
      Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
      Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      Компьютер: VIRTUALMACHINE
      Пользователь: VIRTUALMACHINE\Администратор
      Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
       
      Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
      Имя объекта: C:\Windows\System32\mue.exe 
      MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
      Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
      Компьютер: network
      Пользователь: VIRTUALMACHINE\Администратор

      Клиентские компьютеры:

      Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
      При отключения Касперского машина заражается.
      Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса: 
      Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
      Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
       
      Объект: powershell.exe
      Угроза: PowerShellDownLoader.1452
      Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
       
      Объект: CommandLineTemplate
      Угроза: PowerShellMulDrop.129
      Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate
       
      powershell.exe может быть несколько, CommandLineTemplate обычно один.

      После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
       
      При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
      KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
      После перезагрузки запустил автоматический сбор логов.
      Прикладываю файлы сканирования с сервера.
      CollectionLog-2021.08.26-15.38.zip
    • Mikhail_Absorber
      Бесконечное сканирование System Memory
      Автор Mikhail_Absorber
      Добрый день!
      Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
      На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
      Подскажите, пожалуйста, в чем может быть проблема.


×
×
  • Создать...