несколько процессов powershell грузят память

[christian 0]

Server 2008r2 в списке процессов периодически появляются несколько процессов Powershell

CollectionLog-2021.09.06-23.29.zip

[SQ 831]

Здравствуйте,

Похоже, на данном сервере обнаружен майнер -  distributed cryptominer AD worm - возможно ваш сервер AD был взломан.

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter - Event="__InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter2 - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301", 

Смените все пароли, если открыт RDP или SMB в интернет, то желательно закрыть его, далее использовать VPN для удаленного подключения.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[christian 0]

логи

Addition.txt FRST.txt

[SQ 831]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   Folder: C:\Users\ustinov_as\AppData\Roaming\GHISLER
   File: C:\Windows\UC.PIF
   File: C:\Windows\system32\mue.exe
   File: C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
   Zip: C:\Windows\system32\mue.exe
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

На рабочем столе образуется карантин вида <текущая дата>.zip могли бы пожалуйста его загрузить на какое-то файловое хранилище (google, yandex, onedrive, и т.п.) и отправить ссылку в ЛС (личным сообщением) для его анализа.

[SQ 831]

Здравствуйте,

1) Пожалуйста не размещайте ссылки на вредоносное ПО. Я ранее Вас просил отправить личным сообщением.

P.S. Также предоставленная Вами ссылка не рабочая.

2) Могли бы пожалуйста предоставить файл fixlog.txt?

[christian 0]

Fixlog.txt

[SQ 831]

mue.exe - Trojan.Win32.Shelma.arzd

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   C:\Windows\system32\mue.exe
   C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[christian 0]

21 hours ago, SQ said:

mue.exe - Trojan.Win32.Shelma.arzd

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   
   
   Start::
   C:\Windows\system32\mue.exe
   C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

2021-09-09_13-23-58_v4.11.8.7z Fixlog.txt

[SQ 831]

Сообщите, что с проблемой?

[christian 0]

Проблема больше не наблюдается

[SQ 831]

Завершающие шаги:

 

Утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.