Подозрение на майнер

Printable View

19.01.2022, 13:24
SuperFly7

Вложений: 1

Подозрение на майнер

Всем привет! Помогите советом, начал наблюдать на машинах исключительно типа Windows 10, случайным образом созданные папки в корне диска С, к примеру (s, h, t, i и тд) содержимое явно не системного или пользовательского характера. На машинах стоит антивирусное по McAffee Endpoint Security - никаких угроз не вызывает, сторонние сканеры так же, содержимое прикрепил. Заранее спасибо! Содержимое папки могу показать отдельно.
19.01.2022, 13:34
Info_bot

Уважаемый(ая) [B]SuperFly7[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.01.2022, 14:44
Vvvyg

Признаков майнера по логам нет. Есть повышенная нагрузка на CPU, GPU?

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: OneDrive Reporting Task-S-1-5-21-1812589815-2181933379-3101458171-5201 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Task: OneDrive Reporting Task-S-1-5-21-3962614473-3939030910-685692253-500 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1812589815-2181933379-3101458171-5201 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3962614473-3939030910-685692253-1001 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3962614473-3939030910-685692253-500 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)[/code]
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Создание профилей для CAD 2D.lnk" -> ["C:\IM\ICO\CreateProfilesCAD2D.exe"]
>>> "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk" -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe" =>> ShareFiles]
>>> "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber.lnk" -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"]
>>> "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber(Compatibility Mode).lnk" -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe" =>> SafeMode]
>>> "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Viber.lnk" -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"][/CODE]Отчёт о работе прикрепите.[/CODE]Отчёт о работе прикрепите.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
19.01.2022, 17:28
SuperFly7

Вложений: 2

Логи

Логи с Farbar Recovery Scan Tool
19.01.2022, 19:23
Vvvyg

Надо переделать:[QUOTE]Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 15-01-2022
Запущено с помощью kolenov.m (ВНИМАНИЕ: Пользователь не является Администратором) на Z-LIT-11 (Gigabyte Technology Co., Ltd. B460MDS3HV2) (19-01-2022 16:16:38)[/QUOTE]
20.01.2022, 09:53
SuperFly7

Вложений: 3

Логи

[QUOTE=Vvvyg;1523949]Надо переделать:[/QUOTE]

Переделал
20.01.2022, 11:44
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Folder: C:\z
Folder: C:\an
Folder: C:\qy
Folder: C:\s
Folder: C:\ek
Folder: C:\fw
Folder: C:\ff
Folder: C:\v
Folder: C:\l
Folder: C:\el
Folder: C:\ay
Folder: C:\p
Folder: C:\e
Folder: C:\f
Folder: C:\q
Folder: C:\a
Folder: C:\w
Folder: C:\c
Folder: C:\n
Folder: C:\IM
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=96m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
20.01.2022, 13:57
SuperFly7

Вложений: 1

Логи

Прикрепил

[url]https://drive.google.com/file/d/1SVxfjB25gnVFM0k2B46DN3diYC9IQKS-/view[/url]
20.01.2022, 16:57
Vvvyg

На этой системе активного зловреда нет. Но некоторые вещи смущают.

Судя по набору файлов в папках, это что-то связанное с Tor. Либо юзер пытается использовать Tor browser, либо по сети ходит какая-то зараза, которая через Tor пытается достучаться до своих управляющих центров. Это и трояны могут быть, и шифровальщики, и бэкдоры, вот ссылки на подобные:
[URL="https://vms.drweb.com/virus/?i=18566720&lng=en"]Trojan.DownLoader30.31088[/URL]
[URL="https://www.trendmicro.com/vinfo/tr/threat-encyclopedia/malware/ransom_sigma.b"]RANSOM_SIGMA.B[/URL]

И по журналам, похоже, были попытки брутфорса паролей учёток:
[+] Detection: (Built-in Logic) - Account Brute Forcing
[CODE]┌──────┬─────────────────┬────────────────────┐
│ id │ username │ failed_login_count │
├──────┼─────────────────┼────────────────────┤
│ 4625 │ "kolenov.m" │ 12 │
├──────┼─────────────────┼────────────────────┤
│ 4625 │ "администратор" │ 10 │
└──────┴─────────────────┴────────────────────┘[/CODE]

Кто владелец этих папок, посмотрите. Рекомендую включить аудит создания и удаления файлов для корневой папки диска C:, а также сменить администраторские пароли. И проверять, например, KVRT или Dr. Web CureIt! все компьютеры домена.