служба lsass.exe грузит весь исходящий канал

[Andrey_06_kz 0]

Доброго времени суток уважаемы ГУРУ безопасности

Прошу Вашей помощи по удалению "бяки" с машины а точнее WS 2008 R2 

До не давнего времени проблем не наблюдалось всё работало в штатном режиме

Но в какой то момент офис начал жаловаться на то что не уходят письма

После долго анализа пришел к выводу что на сервере служба lsass.exe грузит весь исходящий канал 

Соединения устанавливает с кучей непонятных адресов, правила на запрет исходящих соединений в брандмауэре ничего не дали

Сканировал утилитами dr web cureit, Kaspersky Virus Removal Tool; даже установил Eset который периодически находит угрозу в network.exe - модифицированный win64/coinminer.po

Прочитав условия сделал сканирование утилитой autologer 

Результат во вложении

Надеюсь на скорую обратную связь

Спасибо

CollectionLog-2021.01.19-14.09.zip

[Sandor 875]

Здравствуйте!

 

27 минут назад, Andrey_06_kz сказал:

находит угрозу в network.exe - модифицированный win64/coinminer.po

Отчёт или скриншот покажите, пожалуйста.

 

[Andrey_06_kz 0]

1 час назад, Sandor сказал:

Здравствуйте!

 

Отчёт или скриншот покажите, пожалуйста.

 

Во вложении скрин

[Sandor 875]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Andrey_06_kz 0]

8 минут назад, Sandor сказал:

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Во вложении отчеты

Addition.txt FRST.txt

[Sandor 875]

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:

Цитата

FirewallRules: [{D3DA79F0-7FC0-4436-AD47-C6BF82F41813}] => (Allow) LPort=80
FirewallRules: [{0BBE8B31-6DC9-42A0-B359-1EEB4D0157F6}] => (Allow) LPort=443

Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Andrey_06_kz 0]

39 минут назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:

Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Выполнив скрипт утилита avz не обнаружила уязвимости

А на счет двух портов как я понял по ним почта ходит (exchange поднят на этой машине), думаю так оно и должно быть, так как поднимал не я его (досталась по наследству)))

[Sandor 875]

42 минуты назад, Sandor сказал:

Как часто антивирус обнаруживает угрозу?

Не ответили.

[Andrey_06_kz 0]

42 минуты назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:

Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Забыл сказать про обнаружение

Сегодня не наблюдалось но канал забит

ниже скрин службы мониторинга

 

[Sandor 875]

Боюсь, это уже не по нашей части. Спросите в Компьютерной помощи и укажите там ссылку на эту тему.

[Andrey_06_kz 0]

5 минут назад, Sandor сказал:

Боюсь, это уже не по нашей части. Спросите в Компьютерной помощи и укажите там ссылку на эту тему.

Благодарствую за уделённое время дружище

[Sandor 875]

По возможности проведите, пожалуйста, эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.