Перейти к содержанию
Правила раздела

служба lsass.exe грузит весь исходящий канал

Andrey_06_kz

Автор Andrey_06_kz
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Andrey_06_kz

Andrey_06_kz

Опубликовано
Опубликовано

Доброго времени суток уважаемы ГУРУ безопасности

Прошу Вашей помощи по удалению "бяки" с машины а точнее WS 2008 R2 

До не давнего времени проблем не наблюдалось всё работало в штатном режиме

Но в какой то момент офис начал жаловаться на то что не уходят письма

После долго анализа пришел к выводу что на сервере служба lsass.exe грузит весь исходящий канал 

Соединения устанавливает с кучей непонятных адресов, правила на запрет исходящих соединений в брандмауэре ничего не дали

Сканировал утилитами dr web cureit, Kaspersky Virus Removal Tool; даже установил Eset который периодически находит угрозу в network.exe - модифицированный win64/coinminer.po

Прочитав условия сделал сканирование утилитой autologer 

Результат во вложении

Надеюсь на скорую обратную связь

Спасибо

CollectionLog-2021.01.19-14.09.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

27 минут назад, Andrey_06_kz сказал:

находит угрозу в network.exe - модифицированный win64/coinminer.po

Отчёт или скриншот покажите, пожалуйста.

 

Andrey_06_kz

Andrey_06_kz

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Здравствуйте!

 

Отчёт или скриншот покажите, пожалуйста.

 

Во вложении скрин

скрин.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Andrey_06_kz

Andrey_06_kz

Опубликовано
  • Автор
Опубликовано
8 минут назад, Sandor сказал:

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Во вложении отчеты

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:

Цитата

FirewallRules: [{D3DA79F0-7FC0-4436-AD47-C6BF82F41813}] => (Allow) LPort=80
FirewallRules: [{0BBE8B31-6DC9-42A0-B359-1EEB4D0157F6}] => (Allow) LPort=443


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Andrey_06_kz

Andrey_06_kz

Опубликовано
  • Автор
Опубликовано
39 минут назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

  


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Выполнив скрипт утилита avz не обнаружила уязвимости

А на счет двух портов как я понял по ним почта ходит (exchange поднят на этой машине), думаю так оно и должно быть, так как поднимал не я его (досталась по наследству)))

1.jpg

Sandor

Sandor

Опубликовано
Опубликовано
42 минуты назад, Sandor сказал:

Как часто антивирус обнаруживает угрозу?

Не ответили.

Andrey_06_kz

Andrey_06_kz

Опубликовано
  • Автор
Опубликовано
42 минуты назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

  


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Забыл сказать про обнаружение

Сегодня не наблюдалось но канал забит

ниже скрин службы мониторинга

 

2.jpg

Andrey_06_kz

Andrey_06_kz

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Боюсь, это уже не по нашей части. Спросите в Компьютерной помощи и укажите там ссылку на эту тему.

Благодарствую за уделённое время дружище

Sandor

Sandor

Опубликовано
Опубликовано

По возможности проведите, пожалуйста, эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AdminNeo
      [РЕШЕНО] Похоже на вирус/ майнер
      Автор AdminNeo
      1. Сегодня утром зашёл в свой ноутбук, начал что-то подозревать : начал греться, сильно шуметь...
       Решил скачать доктор веб - браузер сразу закрывался при нажатии на ссылку/ при заходе на сайт
       Так же отключался диспетчер задач.
      2. Пытался решить сам, скачал такие проги: одноразовый доктор веб курейт, после него iExplore, CrowdInspetc, Rougekiller (им не пользовался, скачан), AVBr
      Поочерёдно использовал их, после смог закачать обычный доктор веб, прочистил сейчас ноутбук. Лог кину после быстрой проверки доктором вебом (делал полную проверку, но после перезагрузил ноут  ). Есть ли шанс, что ещё есть майнеры/ вирусы? Очень переживаю, данный ноутбук - очень важен для меня. (
       
      CollectionLog-2025.12.29-13.18.zip
    • xads
      (возможно) вирус не дает поменять пользователя на администратора.
      Автор xads
      Здравствуйте, с недавнего времени обнаружил что на моем компьютере не возможно установить некоторые программа (80%), узнал что мой локальный профиль windows 11 поменялся на обычную учетную запись, а не администратор как был раньше, пробовал почти все способы поменять тип учетной записи, но ни один способ не помог. В большинстве способов тип просто меняется обратно на обычный, в командой строке выдает "отказано в доступе". Пытался переустановить windows через флешку, но система не дает установить rufus/media tool, пишет что для установки приложения нужны повышенные права, , когда запускаешь от имени администратора программы запускаются в простом режиме. Я не до конца уверен что это вирус т.к это начало происходить в один день, когда я ничего не скачивал и тд. (все антивирусы отключены полностью, на мою глупую голову решил их убрать)
      CollectionLog-2025.12.28-23.51.zip
    • Zlackel
      [РЕШЕНО] 0xc0000017 при запуске системных приложений и обновлений
      Автор Zlackel
      Недавно увидел запрет на обновление от организации, при попытке зайти в редактор реестра и многие другие системные приложения выскакивает ошибка 0xc0000017. Касперский не запускается, различные команды через командную строку не работают. Др. Веб ничего не нашел. На компьютере стоит Zapret-discord-youtube. Прошу помочь.
      CollectionLog-2025.11.05-18.00.zip
    • Кустас
      Подозрение на вирус
      Автор Кустас
      CollectionLog-2025.10.08-09.23.zip
      Скорость моего интернета упала заметно. При попытке проверить через sppedtest, скорость загрузки разительно отличается от скорости выгрузки(2-8 раз). При том, я точно знаю скорость Вайфая, она явно больше 800кб/сек. ПРи проводе так вообще 20мб/сек+. Я не могу точно определить, является ли это вирусом, или нет, но лучше перестрахуюсь.
    • cQreen
      Warning:this country is not supported
      Автор cQreen
      хотел поиграть в контру с скинченджером(nexora)видимо скачал не с офиц сайте,увидел,что каждые 5-10 минут появляется надпись Warning:this country is not supported с антивирусом узнал,что это LummaStealer поудалял(были еще трояны).Есть способ решить(желательно без сноса винды.
       
      Сообщение от модератора thyrex Перемещено из раздела Е.К.
×
×
  • Создать...