Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

несколько процессов powershell грузят память

christian

Автор christian
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Похоже, на данном сервере обнаружен майнер -  distributed cryptominer AD worm - возможно ваш сервер AD был взломан.

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 


O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter - Event="__InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter2 - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301",


Смените все пароли, если открыт RDP или SMB в интернет, то желательно закрыть его, далее использовать VPN для удаленного подключения.
 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
Folder: C:\Users\ustinov_as\AppData\Roaming\GHISLER
File: C:\Windows\UC.PIF
File: C:\Windows\system32\mue.exe
File: C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
Zip: C:\Windows\system32\mue.exe
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

На рабочем столе образуется карантин вида <текущая дата>.zip могли бы пожалуйста его загрузить на какое-то файловое хранилище (google, yandex, onedrive, и т.п.) и отправить ссылку в ЛС (личным сообщением) для его анализа.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

1) Пожалуйста не размещайте ссылки на вредоносное ПО. Я ранее Вас просил отправить личным сообщением.

P.S. Также предоставленная Вами ссылка не рабочая.

2) Могли бы пожалуйста предоставить файл fixlog.txt?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

mue.exe - Trojan.Win32.Shelma.arzd

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
C:\Windows\system32\mue.exe
C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на комментарий
Поделиться на другие сайты
christian Постоялец

christian

Опубликовано
  • Автор
Опубликовано
21 hours ago, SQ said:

mue.exe - Trojan.Win32.Shelma.arzd

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    

Start::
C:\Windows\system32\mue.exe
C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

2021-09-09_13-23-58_v4.11.8.7z Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Завершающие шаги:

 

Утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VanyeJ
      Вирус в PowerShell
      Автор VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
    • Winbeecatcat
      При запуске запускается PowerShell и закрывается
      Автор Winbeecatcat
      каждый раз когда я включаю ноутбук при запуске запускается повершел а потом закрывается, раньше когда у меня был виндовс дефендер он просто писал про троян malgent а сейчас с касперским пишет то что повершел пытался открыть сайт с гифкой с соником и надписью no way (скриншот)
      Сегодня, 16.03.2025 20:37:01;Остановлен переход на сайт;Yandex with voice assistant 
       

    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

    • Notururu
      Грузит процессор на 100%
      Автор Notururu
      Заметил, что стали сильно шуметь кулера на компе и подтормаживать система. Проверил в диспетчере задач нагружается процессор пытался проверить почему не вышло.

    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...