[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить

[nikhopka]

Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).

После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.

Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.

Сам майнер заблочила штатными средствами.

 

Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.

CollectionLog-2020.03.22-20.18.zip

[SQ]

Здравствуйте,

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Что из следущего вам известно?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - 3AD010247A8F1E991F8DDE5D47989CB5202E5614 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6A2C691767C2F1999B8C020CBAB44756A99A0C41 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - 8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 - DarkMatter High Assurance CA
O7 - Policy: [Untrusted Certificate] HKLM - 9FEB091E053D1C453C789E8E9C446D31CB177ED9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1
O7 - Policy: [Untrusted Certificate] HKLM - D3FD325D0F2259F693DD789430E3A9430BB59B98 - DarkMatter High Assurance CA
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[nikhopka]

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 

Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

 

Что из следущего вам известно?

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

 

HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксила.

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Прикрепила.

 

Addition.txt

FRST.txt

[SQ]

 

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 

Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

А меняли пароли после этого?

 

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

Но сами вы их не помечали как недоверенные?

 

 

Остались остатки от Zenama на вашем сервере:

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

Сделайте резервную копию состояния системы.

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::

  Start::
  CreateRestorePoint:
  Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
  File: C:\Windows\system32\wuaueng2.dll
  File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
  File: C:\Windows\system32\MOSCHIP_PciUninst.exe
  File: C:\Windows\system32\MOSCHIP_StnUninst.exe
  File: C:\Windows\Activator.exe
  File: C:\Users\ss\Downloads\ritm.conf.exe
  Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
  Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
  Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
  Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
  Virustotal: C:\Windows\Activator.exe
  Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
  AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
  FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
  FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
  FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
  End::
  

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите  через данную форму

 

 

 

Похоже на вредоносные записи, они вам знакомы?

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]

[SQ]

Уточните пожалуйста, вам еще нужна помощь?

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

[nikhopka]

Уточните пожалуйста, вам еще нужна помощь?

 

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

Да, извините, просто я могу этим заниматься только по выходным.

 

 

А меняли пароли после этого?

Где конкретно?

 

 

Но сами вы их не помечали как недоверенные?

Нет.

 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

 

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Это придётся до завтра отложить. Завтра выложу.

 

 

Похоже на вредоносные записи, они вам знакомы?

Как удалить эти вредоносные строки?

Изменено 27 марта, 2020 пользователем nikhopka

[SQ]

Это придётся до завтра отложить. Завтра выложу.

Если только ранее не выполняли, то я то выполните следующий.

 

 

Как удалить эти вредоносные строки?

Я добавил вредоносные строки в исправление.

 

Желательно перед следующими манипуляциями сделать минимум одну резервную копию состояния системы.

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::

  Start::
  Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
  File: C:\Windows\system32\wuaueng2.dll
  File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
  File: C:\Windows\system32\MOSCHIP_PciUninst.exe
  File: C:\Windows\system32\MOSCHIP_StnUninst.exe
  File: C:\Windows\Activator.exe
  File: C:\Users\ss\Downloads\ritm.conf.exe
  Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
  Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
  Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
  Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
  Virustotal: C:\Windows\Activator.exe
  Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
  AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
  FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
  FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
  FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
  WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
  End::
  

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму .

[nikhopka]

@SQ, 

File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Users\ss\Downloads\ritm.conf.exe

Эти вещи я, кажется, знаю (они запущены постоянно): 
VSPE - программа для просбросов портов;
ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива).
 

Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt
 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 
Что делать дальше?

PS. А эти моменты актуальны? Поясните, пожалуйста.

А меняли пароли после этого?

Где конкретно?

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

Изменено 29 марта, 2020 пользователем nikhopka

[SQ]

Похоже ваш сервер был заражен Bondnet (сервер использовался как ботнет), скорее всего был взломан через MySQL. Вам желательно необходимо убедиться, что Ваш MySQL Server обновлен и не уязвим к известным уязвимостям. Найденный записи в wmi на вашем сервер это подверждат, а также согласно утилите на gidhub по удалению этого типа ботнета.

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?
P.S. Возможно спомощью их вы узнаете на какие сервера производились аттаки с вашего сервера.

 

 

А меняли пароли после этого?

Где конкретно?

 

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.
 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

Уточните пожалуйста, что с проблемой?

Могли бы приложить новые логи утилиты FRST (frst.txt и addition.txt), чтобы убедиться, что все прошло хорошо?
 

 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

[nikhopka]

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.

Сделано, сервер недоступен извне, БД вроде недоступна извне.

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

 

Уточните пожалуйста, что с проблемой?

MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился.

Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли?

Могли бы приложить новые логи утилиты FRST, чтобы убедиться, что все прошло хорошо?

FRST.txtAddition.txt

 

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?

Нет ни того, ни другого.

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?

Изменено 29 марта, 2020 пользователем nikhopka

[SQ]

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

Нет, просто есть записи в реестре о драйверах антивирусного ПО Zemana.

 

 

Согласно логам осталось еще одна вредоносная запись.

 

По возможности сделайте резервную копию состояния системы (System State backup) перед манипуляциями.

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::

  Start::
  WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
  End::
  

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что сервер возможно будет перезагружен.

UPD:

Пришел ответ от ВирЛаба касаемо вашего карантина:

==================

В присланном Вами файле не найдено ничего вредоносного.

==================

[nikhopka]

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Fixlog.txt

 

Что делать дальше (кроме MySQL - это я поняла)?

Изменено 29 марта, 2020 пользователем nikhopka

[SQ]

Проверьте пожалуйста, что с проблемой?

P.S. В  ЛС (личным сообщением, вверху форума вы увидете конвертик) я отправил вам рекомендации от ЛК.

[nikhopka]

@SQ, FRST.txtAddition.txt

[SQ]

В логах кроме предупреждений о битых записях Zemana, ничего плохого не вижу. Сообщите, если проблем еще воспроизводиться?
 

==================== Faulty Device Manager Devices ============

Name: ZAM Helper Driver
Description: ZAM Helper Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: ZAM Guard Driver
Description: ZAM Guard Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM_Guard
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

- Если хотите это убрать, то можете попробовать выполнить следующие рекомендации в безопасном режиме:
- Также лучше сделать резерную копию состояния системы, так как изменения будут производиться в реестре, чтобы в случае неудачи, можно было откатить состояние работы системы.
 

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  

  Start::
  S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
  S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что сервер возможно будет перезагружен.