Перейти к содержанию

несколько процессов powershell грузят память


Рекомендуемые сообщения

Здравствуйте,

Похоже, на данном сервере обнаружен майнер -  distributed cryptominer AD worm - возможно ваш сервер AD был взломан.

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.


O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter - Event="__InstanceModificationEvent WITHIN 13600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event:  (no consumer) - SCM Event8 Log Filter2 - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 301", 


Смените все пароли, если открыт RDP или SMB в интернет, то желательно закрыть его, далее использовать VPN для удаленного подключения.
 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    Folder: C:\Users\ustinov_as\AppData\Roaming\GHISLER
    File: C:\Windows\UC.PIF
    File: C:\Windows\system32\mue.exe
    File: C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
    Zip: C:\Windows\system32\mue.exe
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

На рабочем столе образуется карантин вида <текущая дата>.zip могли бы пожалуйста его загрузить на какое-то файловое хранилище (google, yandex, onedrive, и т.п.) и отправить ссылку в ЛС (личным сообщением) для его анализа.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

1) Пожалуйста не размещайте ссылки на вредоносное ПО. Я ранее Вас просил отправить личным сообщением.

P.S. Также предоставленная Вами ссылка не рабочая.

2) Могли бы пожалуйста предоставить файл fixlog.txt?

Ссылка на сообщение
Поделиться на другие сайты

mue.exe - Trojan.Win32.Shelma.arzd

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    C:\Windows\system32\mue.exe
    C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты
21 hours ago, SQ said:

mue.exe - Trojan.Win32.Shelma.arzd

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    
    
    Start::
    C:\Windows\system32\mue.exe
    C:\Windows\system32\WindowsPowerShell\v1.0\WinRing0x64.sys
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

2021-09-09_13-23-58_v4.11.8.7z Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:

 

Утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От IvanVasil
      Доброго дня.
      Прошу помочь очистить сеть из нескольких машин от вируса-майнера.
      Просканировал одну из машин утилитой KVRT, во вложении CollectionLog после проверки.
      Заранее спасибо.
       
      CollectionLog-2019.04.23-02.09.zip
    • От GrigoryBel
      Здравствуйте, совсем недавно появилась проблема связанная с PowerShell. Примерно каждые 15 мин. эта командная строка запускается сама по себе, и из за этого выкидывает из приложений на раб. стол. Открывается и тут же пропадает, происходит это за секунду, но жутко надоедает когда сворачиваются приложения. В самой строке пусто, почему это происходит я так и не смог понять . Пытался найти решение в сети, ничего не помогло, наткнулся на вот такую статью  "MSH/Cibyz не использует какой-либо уязвимости PowerShell, а эксплуатирует его функциональную возможность исполнять скрипты. Тем самым новый код похож на batch-вирусы, написанные на Javascript или Visual Basic, команда загрузить которые поступает в систему при исполнении скрипта." Не исключаю возможность того что сам мог скачать вирус, при выкл антивирусе. Производил полную проверку с самыми свежими базами ничего не находит. Если даже это не вирус может есть какие нибудь варианты отключения самого PowerShell или того процесса который заставляет его с периодичностью появляться? 
    • От ChillingTouch
      Оформлен инцидент INC000008415373, в двух словах продублирую здесь.
       
      На серверах с всевозможными версиями Windows Server обнаруживается работающий процесс powershell, грузящий процессор на 100%. Если процесс убить, то он потом снова запускается. Командные строки процессов отличаются, но типа этого:
      powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value; $funs = ([WmiClas*] 'root\default:Win32_TaskService').Properties['funs'].Value ; iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))); Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')" После загрузки системы в безопасном режиме и сканирования с помощью KVRT находится в System Memory и удаляется Trojan.Multi.GenAutorunWMI.a, после перезагрузки всё вроде бы нормально.
       
      На серверах установлен KSWS 10.0.0.486, посоветуйте, где что настроить, чтобы избежать повторных случаев.
×
×
  • Создать...