Перейти к содержанию

служба lsass.exe грузит весь исходящий канал


Рекомендуемые сообщения

Доброго времени суток уважаемы ГУРУ безопасности

Прошу Вашей помощи по удалению "бяки" с машины а точнее WS 2008 R2 

До не давнего времени проблем не наблюдалось всё работало в штатном режиме

Но в какой то момент офис начал жаловаться на то что не уходят письма

После долго анализа пришел к выводу что на сервере служба lsass.exe грузит весь исходящий канал 

Соединения устанавливает с кучей непонятных адресов, правила на запрет исходящих соединений в брандмауэре ничего не дали

Сканировал утилитами dr web cureit, Kaspersky Virus Removal Tool; даже установил Eset который периодически находит угрозу в network.exe - модифицированный win64/coinminer.po

Прочитав условия сделал сканирование утилитой autologer 

Результат во вложении

Надеюсь на скорую обратную связь

Спасибо

CollectionLog-2021.01.19-14.09.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

27 минут назад, Andrey_06_kz сказал:

находит угрозу в network.exe - модифицированный win64/coinminer.po

Отчёт или скриншот покажите, пожалуйста.

 

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Sandor сказал:

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Во вложении отчеты

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:

Цитата

FirewallRules: [{D3DA79F0-7FC0-4436-AD47-C6BF82F41813}] => (Allow) LPort=80
FirewallRules: [{0BBE8B31-6DC9-42A0-B359-1EEB4D0157F6}] => (Allow) LPort=443


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Выполнив скрипт утилита avz не обнаружила уязвимости

А на счет двух портов как я понял по ним почта ходит (exchange поднят на этой машине), думаю так оно и должно быть, так как поднимал не я его (досталась по наследству)))

1.jpg

Ссылка на сообщение
Поделиться на другие сайты
42 минуты назад, Sandor сказал:

В Брандмауэре проверьте разрешения на порты. Эти, например, подозрительные:


Как часто антивирус обнаруживает угрозу?

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Забыл сказать про обнаружение

Сегодня не наблюдалось но канал забит

ниже скрин службы мониторинга

 

2.jpg

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Боюсь, это уже не по нашей части. Спросите в Компьютерной помощи и укажите там ссылку на эту тему.

Благодарствую за уделённое время дружище

Ссылка на сообщение
Поделиться на другие сайты

По возможности проведите, пожалуйста, эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Razy
      Когда нажимаю по ярлыку ничего не происходит, некоторые предложение перестали открываться, раньше всё было нормально, что пробовал: менял совместимость, запсукал от Администратора, переустанавливал предложение-и, проверял на вирусы, в таких предложениях как: KVRT, Malwarebytes, Ccleaner, Dr. Web.
      CollectionLog-2021.05.26-18.22.zip
    • От Андрей57
      Здравствуйте. Проблема случилась около недели назад. Стала подвисать мышка на секунду. Чем дольше работает компьютер, чем чаще и сильнее подвисания. Curiet ничего не находит, Malware не устанавливается вообще, KVRT ставится, кнопка " начать проверку" нажимается, но ничего не происходит.
      CollectionLog-2021.01.21-20.36.zip
    • От Andrey_06_kz
      Доброго времени суток господа гуру сисадмины
      Прошу Вашей помощи
      Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал
      Прошу помощи
      Перейдя по ссылке описаны все шаги и есть вложения
      Спасибо
       
       
    • От -Лана-
      Здравствуйте.
      2й раз за полторы недели выскакивает капча от гугла - подозрительный траффик, подтвердите, что вы человек. Сейчас ввела всего пару запросов в гугле, когда первый раз вылезла - был только первый запрос.
      Айпи динамический, с этого компьютера работаю в браузере, с поиском в гугле не связана деятельность, неделю назад получила информацию, что были неполадки с оборудованием у провайдера (но это не точно).
      Имеется 3 устройства - 2 ноута и телефон, раньше было подключение по роутеру TP-link, на старом ноуте нашли троян, пролечили, удалили, новый ноут чист (вроде бы, проверила всем чем можно - 10+ антивирусных программ, каспер макс защита + впн). После обнаружения трояна все устройства изолировала, роутер убрала, сейчас подключение проводом в новый ноут и все-равно опять вылезла эта капча.
      С чем это может быть связано и как бороться?
      Спасибо.
    • От IlyaSuperior_R
      Не могу запустить файл для установки антивируса касперский: после открытия файла ничего не происходит. Пытался запустить аваст, но сразу после начала установки появляется ошибка. Пытаюсь запустить KVRT, но после нажатия кнопки "начать проверку" ничего не происходит. Сканировал dr.web cureit, все чисто. 
      CollectionLog-2020.10.18-23.12.zip
×
×
  • Создать...