Поймал майнер

Printable View

30.04.2019, 12:09
Daninoplanet

Вложений: 1

Поймал майнер

Поймал майнер. Вроде всё удалил, но ощущение что хвосты остались.
30.04.2019, 12:10
Info_bot

Уважаемый(ая) [B]Daninoplanet[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.05.2019, 07:50
Vvvyg

Хвосты остались, почистим.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DeleteFile('C:\ProgramData\Wcolacomo\Vkeco.exe', '');
DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "NetLibrary" /F', 0, 15000, true);
DeleteService('spoolsrvrs');
DeleteService('wcvvses');
DeleteService('werlsfks');
DeleteService('wscsvs');
DeleteFileMask('c:\programdata\wcolacomo', '*', true);
DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
DeleteDirectory('c:\programdata\wcolacomo');
DeleteDirectory('c:\windows\inf\netlibrariestip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
end.[/code]Перезагрузите сервер.

Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
06.05.2019, 09:18
Daninoplanet

Вложений: 1

[ATTACH=CONFIG]677691[/ATTACH]
После второго скрипта уязвимостей найдено не было.
Судя по всему была скомпрометирована учетка админа домена, на остальных серверах то же самое, но не в таком объёме.
06.05.2019, 19:42
Vvvyg

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
07.05.2019, 08:21
Daninoplanet

Вложений: 1

Отчёты.
07.05.2019, 20:35
Vvvyg

Лучше выполните из безопасного режима, если FRST не сможет что-то удалить сразу, пошлёт систему на перезагрузку.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]IFEO\sethc.exe: [Debugger] rdm.exe
Task: {517E7532-A0D7-4A5A-A119-F002451D3E27} - System32\Tasks\Microsoft\Windows\EntityFramework\NetLibrary => C:\ProgramData\Wcolacomo\Vkeco.exe
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
10.05.2019, 07:44
Daninoplanet

Вложений: 1

Готово.
10.05.2019, 10:49
Vvvyg

Всё на этом.
10.05.2019, 11:06
Daninoplanet

Такая же ситуация с остальными серверами в домене. Для них надо отдельные темы создавать?
11.05.2019, 10:07
Vvvyg

Да, один компьютер - одна тема.