Добрый день.
Майнер самопроизвольно устанавливается в папку и тащит с собой
libcurl.dll
libeay32.dll
libwinpthread-1.dll
ssleay32.dll
zlib1.dll
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
Printable View
Добрый день.
Майнер самопроизвольно устанавливается в папку и тащит с собой
libcurl.dll
libeay32.dll
libwinpthread-1.dll
ssleay32.dll
zlib1.dll
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
Уважаемый(ая) [B]kondratevn[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\wmiApSvc.exe','');
TerminateProcessByName('C:\Users\svchost.exe');
QuarantineFile('C:\Users\svchost.exe','');
DeleteFile('C:\Users\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Новые логи выкладываю.
C:\Windows\system32\wmiApSvc.exe проверьте на [url]https://virustotal.com[/url] и пришлите ссылку на результат проверки
[QUOTE=thyrex;1455764]C:\Windows\system32\wmiApSvc.exe проверьте на [URL]https://virustotal.com[/URL] и пришлите ссылку на результат проверки[/QUOTE]
нет такого файла по этому пути
Показ скрытых и системных файлов включите и увидите его
результаты virustotal
[url]https://virustotal.com/ru/file/da376343e55cd1e212a6864fdb845d596b7e3ff4ed1b44fa03805ba57b121e66/analysis/1499005208/[/url]
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('wmiApSvc');
DeleteFile('C:\Windows\system32\wmiApSvc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Новые логи во вложении. файл теперь по пути C:\Config.Msi
Выполните скрипт в AVZ:[CODE]begin
TerminateProcessByName('C:\Config.Msi\svchost.exe');
QuarantineFile('C:\Config.Msi\svchost.exe', '');
QuarantineFile('C:\Windows\System32\svchоst.exe', '');
DeleteFile('C:\Config.Msi\svchost.exe', '32');
DeleteFile('C:\Windows\System32\svchоst.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\PLA\System\PLA Optimize" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.[/CODE]Перезагрузите сервер вручную.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
Добрый вечер.
карантин прикрепил.
отчет FRST прикладываю
Если ещё не устранили уязвимость, которую используют нашумевшие шифровальщики WannaCry и Petya - [URL="https://support.microsoft.com/ru-ru/help/4012598/title"]MS17-010: Описание обновления безопасности для Windows SMB Server[/URL] срочно устанавливайте, причём на всех компьютерах в сети.
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:[CODE]Task: {C6F26B5C-2CCC-4807-91EB-92611623492D} - \Microsoft\Windows\PLA\System\PLA Optimize11 -> No File <==== ATTENTION
Task: {E6D0DE5A-DD23-448A-BB0F-CF6E3EF9B9E3} - \Microsoft\Windows\PLA\System\PLA Optimize1 -> No File <==== ATTENTION
2017-06-29 20:04 - 2017-06-29 20:04 - 01447424 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\libeay32.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00572416 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Users\libcurl.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00314880 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Users\ssleay32.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00089600 _____ C:\Users\zlib1.dll
2017-06-29 20:04 - 2017-06-29 20:04 - 00079637 _____ (MingW-W64 Project. All rights reserved.) C:\Users\libwinpthread-1.dll
2017-06-21 12:05 - 2017-06-21 22:38 - 648164115 _____ C:\Windows\MEMORY.DMP
2017-06-21 12:05 - 2017-06-21 12:05 - 00277400 _____ C:\Windows\Minidump\062117-5328-01.dmp
[/CODE]
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Сообщите, что с проблемой.
выполнил
Проигнорировали[quote="Vvvyg;1457146"]Сообщите, что с проблемой.[/quote]
[QUOTE=thyrex;1457264]Проигнорировали[/QUOTE]
проверял. проблема все там же. опять создаются файлы в c:/users
обновления в процессе установки пока
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
сделал
Завершите на сервере все сеансы пользователей, 1С, SQL, Mobile SMARTS сервер, сожалению, тут без вариантов будет автоматическая перезагрузка.
Или, если есть возможность, выполняйте из безопасного режима с поддержкой сети.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
sreg
zoo %Sys32%\SACSVR.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
zoo %SystemDrive%\USERS\SVCHOST.EXE
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SVCHOST.EXE
chklst
delvir
deltmp
apply
areg[/CODE]
Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Была подменена системная DLL, для её востановления выполните в UVS скрипт:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\SACSVR.DLL[/CODE]
Вас взламывают, видимо, всё же через RDP, хоть и порт нестандартный. Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем. Есть, кстати, хорошее правило - сразу после установки серверной ОС переименовывать администратора по умолчанию.
Проблема решена.
не могу правда найти в папке uVS запрошенных Вами файлов.
Последите за ситуацией ещё пару дней. майнер может вернуться.
майнер вернулся.
все обновления установлены
Остановите и отключите службу Mobile SMARTS сервер.
Сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
[url]http://rgho.st/8JFkKjSPG[/url]
сделал
[QUOTE]Остановите и отключите службу Mobile SMARTS сервер.[/QUOTE]
Это так и не сделали. Есть подозрение, что через неё могут проникать в систему.
Выполните скрипт в UVS:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
sreg
zoo %Sys32%\MMCSS.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6
chklst
delvir
apply
areg[/CODE]После автоматической перезагрузки сервера выполните такой скрипт:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\MMCSS.DLL
czoo[/CODE]
Архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени из папки с UVS отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Установите аудит на папку c:\Windows\System32
При первых признаках заражения выполните такой скрипт в UVS:[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx[/CODE]В папке с UVS появится архив [B]Events.7z[/B], загрузите его на rghost.ru и дайте ссылку в теме.
Zoo и лог вложил.
карантин прислал
а так же закрыл порты mobilesmarts
Zoo надо было в только в карантин, не надо вирусы распространять..
Ждём продолжения...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\config.msi\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][*] c:\users\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][*] \sacsvr.dll._d534e89e3795781e0e116e482fa4efb46b188a0d - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.cxz[/B][*] \svchost.exe._9cd7ead45899001765c8d68517736ba77c08bc12 - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ibto[/B][/LIST][/LIST]