Не могу избавиться от Tool.BtcMine.2492 [HEUR:Trojan.Win32.Miner.gen]

Printable View

29.03.2021, 21:56
shlyambur

Вложений: 2

Не могу избавиться от Tool.BtcMine.2492 [HEUR:Trojan.Win32.Miner.gen]

[COLOR=#222222][FONT=Verdana]С февраля месяца (если не раньше) с интервалом в 3-7-10 дней возвращается зловред и "майнит", отбирая на себя все ресурсы ЦПУ. Вирус маскируется под системный процесс System.exe якобы от издателя COM Surrogate
Антивирус NOD32 Endpoint подозрительного ничего не находит, за исключением того, когда пару недель было "тихо", а в каратнине появились записи про блокировку объектов:[/FONT][/COLOR]
[ATTACH=CONFIG]684727[/ATTACH]

[COLOR=#222222][FONT=Verdana]Прибить удается cureit-ом, но не на долго. Обновил систему всеми последними обновками. Пробовал штатный виндовый антивирус - так же ничего не сообщает, даже при запущеном вирусе. Подозрительных программ нет, лишних заданий по расписанию тоже, в автозагрузке, вроде бы как, все, что нужно. Система на ВПС, поэтому, из-под реаниматора какого-нить антивируса проверить не могу.

Прошу помощи, т.к. не знаю куда копать... :([/FONT][/COLOR]
29.03.2021, 21:59
Info_bot

Уважаемый(ая) [B]shlyambur[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.03.2021, 07:47
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
TerminateProcessByName('C:\Windows\Temp\System.exe');
QuarantineFile('C:\Windows\Temp\System.exe', '');
DeleteFile('C:\Windows\Temp\System.exe', '');
DeleteFile('C:\Windows\Temp\System.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]Перезагрузите сервер

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
30.03.2021, 13:40
shlyambur

Вложений: 2

сделал все, как и указали
1. файл карантина отправил - "Файл сохранён как 210330_103702_quarantine_6062ff4e54e16.zip"
2. лог AVZ а также логи FRST в прикрепленных файлах
30.03.2021, 21:47
Vvvyg

Есть подозрение, что проникают в систему, скорее всего, по RDP и подсаживают майнер.

Смените пароль пользователя Administrator.
Лучше не использовать для удалённого доступа учётки со стандартными именами.
Также нужно заблокировать брутфорс по RDP, сейчас ваш сервер можно ломать до победного конца. Вот [URL="https://neoserver.ru/help/kak-zashchitit-rdp-podklyuchenie-na-windows-server"]годная инструкция[/URL], единственно, там предлагают использовать x86 версию IPBan и прямая ссылка на устаревшую версию, используйте [URL="https://github.com/DigitalRuby/IPBan/releases/"]x64 актуальный билд[/URL].

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL], распакуйте, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы Дополнительно -> Твики -> 39 "Включить отслеживание процессов и задач".
Перезагрузите систему, если майнер появится снова, [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Зачем все эти порты открыты наружу? Чтобы облегчить взлом?[QUOTE]88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-30 04:48:08Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2012 R2 Datacenter 9600 microsoft-ds (workgroup: LOKRI)
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: lokri.local, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5504/tcp open msrpc Microsoft Windows RPC
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
9389/tcp open mc-nmf .NET Message Framing
45769/tcp open unknown
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49157/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49158/tcp open msrpc Microsoft Windows RPC
49159/tcp open msrpc Microsoft Windows RPC
49177/tcp open msrpc Microsoft Windows RPC
49189/tcp open msrpc Microsoft Windows RPC
49194/tcp open msrpc Microsoft Windows RPC
49214/tcp open msrpc Microsoft Windows RPC [/QUOTE]
Система, кстати, обновлена?