Прошу помощи в установлении источника зловреда

Printable View

08.07.2024, 10:25
OSSS

Вложений: 1

Прошу помощи в установлении источника зловреда

server 2019, каждые 3 часа касперский фиксирует следы вирусной активности

Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 08.07.2024 12:05:32
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 08.07.2024 12:05:32
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PDF.Generic v8_87EC_4fc93.tmp localhost СИСТЕМА 08.07.2024 12:05:32
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 08.07.2024 9:05:24
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 08.07.2024 9:05:24
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PDF.Generic v8_87EC_4fc93.tmp localhost СИСТЕМА 08.07.2024 9:05:24
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 08.07.2024 6:05:26
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 08.07.2024 6:05:26
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PDF.Generic v8_87EC_4fc93.tmp localhost СИСТЕМА 08.07.2024 6:05:26
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 08.07.2024 3:05:25
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 08.07.2024 3:05:25
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PDF.Generic v8_87EC_4fc93.tmp localhost СИСТЕМА 08.07.2024 3:05:25
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 08.07.2024 0:05:22
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 08.07.2024 0:05:22
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PDF.Generic v8_87EC_4fc93.tmp localhost СИСТЕМА 08.07.2024 0:05:22
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.MSOffice.Generic v8_87EC_4a4e5.tmp localhost СИСТЕМА 07.07.2024 21:05:26
Критический Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan-Downloader.MSOffice.SLoad.gen v8_87EC_4a4e5.tmp//VIMoqifwGb localhost СИСТЕМА 07.07.2024 21:05:26

исследование файлов из карантина показало, что внутри действительно разнообразные зловреды, например архив с вот таким содержанием

"Order Confirmation 35,000 usd.exe"

Все это маскируется, под временные файлы бухгалтерской программы,
v8_87EC_4fc93.tmp
v8_87EC_4a4e5.tmp
удаление бухгалтерской программы не помогло.

Прошу помощи в поиске источника заразы.
08.07.2024, 10:27
Info_bot

Уважаемый(ая) [B]OSSS[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.07.2024, 14:44
Vvvyg

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleSystem\GoogleUpdater (empty)[/code]

Обновите Google Chrome до актуальной версии, есть серьёзные уязвимости.
Система, MS Office, MS SQL Server обновляются регулярно?

[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
08.07.2024, 19:06
OSSS

Вложений: 1

Архив результата выполнения скрипта
[url]https://cloud.mail.ru/public/ASud/usCmiw54z[/url]
Лог FRST в приложении
08.07.2024, 21:09
Vvvyg

Судя по журналам защитника Windows - детект был именно в файлах, которые открывал процесс 1С:[CODE]Date: 2024-06-22 14:08:09.658
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
[url]https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:PDF/Phish.SEU!MTB&threatid=2147888219&enterprise=0[/url]
Имя: Trojan:PDF/Phish.SEU!MTB
ИД: 2147888219
Серьезность: Критический
Категория: Троян
Путь: containerfile:_C:\Users\Администратор\AppData\Local\Temp\v8_74F_1457a.tmp; file:_C:\Users\Администратор\AppData\Local\Temp\v8_74F_1457a.tmp->(PdfUri:0000)
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:
Пользователь: AKMOLA\cm-adm
Название процесса: C:\Program Files\1cv8\8.3.16.1063\bin\rphost.exe[/CODE]Причём все - под пользователем cm-adm, который сейчас отключен.
Была ли скомпрометирована учётка cm-adm?
Какой пользователь работает в профиле C:\Users\Администратор ? Не вижу такого в списке учётных записей.

И нет реакции на это:
[QUOTE=Vvvyg;1531010]Обновите Google Chrome до актуальной версии, есть серьёзные уязвимости.
Система, MS Office, MS SQL Server обновляются регулярно?[/QUOTE]

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
File: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE
CMD: REG QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\{VersionNumber}\Tools\Setup" /v /e /f Edition
Folder: C:\Users\Администратор\AppData\Local\Temp
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

В личку сообщите внешний ip адрес сервера.