Лечение компьютера после bitcoin майнеов

**pollop2125** · 11.12.2021, 12:44

День добрый был заражен сервер. Сервер грузили какие то программы их удаления не помогли они возвращаются в течении суток. Ни одна антивирусная программа не помогала. Скачал какой то малберис. И он показал где что в ручную через рево инсталер удалял. Но все равно они каждый день возвращаются. Каждые пару минут блокируется какой-то ip этой малберис. с svchost и sqlserv. ни чего найти не могу. Скачал вашу программку прогнал лог прикладываю может вы поможете. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.12.2021, 12:45

Уважаемый(ая) pollop2125, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 11.12.2021, 14:25

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=96m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**pollop2125** · 12.12.2021, 10:13

День добрый.
https://disk.yandex.ru/d/Cg9Vj93u6uQccg

- - - - -Добавлено - - - - -

Вложил сканировные файлы.

**Vvvyg** · 12.12.2021, 19:06

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
2021-12-10 08:04 - 2021-12-10 08:04 - 000000000 ____D C:\Windows\system32\Tasks\Avira
2021-12-08 18:45 - 2021-12-10 08:14 - 000000000 ____D C:\Program Files (x86)\Avira
2021-12-08 18:45 - 2021-12-10 08:06 - 000000000 ____D C:\ProgramData\Avira
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\ProgramData\Symantec.cloud
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\ProgramData\Symantec
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\ProgramData\Sophos
2021-11-13 14:36 C:\ProgramData\Symantec
2021-11-13 14:36 C:\ProgramData\HitmanPro.Alert
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\ProgramData\Malwarebytes
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Trend Micro
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Symantec
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\SpyHunter
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Sophos
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Seqrite
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\SentinelOne
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Quick Heal
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\K7 Computing
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Symantec
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Sophos
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Seqrite
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\McAfee
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Immunet
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\HitmanPro
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\EnigmaSoft
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Enigma Software Group
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\COMODO
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
2021-11-13 14:36 - 2021-11-13 14:36 - 000000000 __SHD C:\Program Files (x86)\Cezurity
Unlock: C:\ProgramData\Malwarebytes
Unlock: C:\Program Files\Malwarebytes
Unlock: C:\Program Files (x86)\Malwarebytes
Unlock: C:\Windows\SysWOW64\DWWIN.EXE
Unlock: C:\Windows\SysWOW64\eventvwr.msc
Unlock: C:\Windows\SysWOW64\mobsync.exe
Unlock: C:\Windows\SysWOW64\WerFault.exe
Unlock: C:\Windows\SysWOW64\wermgr.exe
FirewallRules: [{7A08A318-4CF1-4BD0-B403-82F9A9279AC8}] => (Block) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
FirewallRules: [{BFA461A0-2694-4B4E-9485-A28EC35DF5A2}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
FirewallRules: [{C06ABE91-8393-4A98-B895-6A32EF9DB77A}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
FirewallRules: [{3E2CF3D6-27F7-4B38-B204-1DFB9535B591}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5293D898-04BD-44DD-B9CB-05239F5AB63F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{EBC60DBA-42A6-46C7-B6B0-15793241D7C9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8FEFCF11-4434-441B-A2F3-18385715DF93}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{FBA45B89-D4DB-4D8A-8A77-45C5ADE36722}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1F6B96AC-F57A-4538-9DB5-BFFFB3C12C6B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Брутят через RDP:

Код:

[+] Detection: (Built-in Logic) - Account Brute Forcing[0m
┌──────┬──────────────────────────────┬────────────────────┐
│  id  │           username           │ failed_login_count │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "USER9"                      │ 6                  │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "VIDEO"                      │ 6                  │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "GLAVBUH"                    │ 12                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "SLAVA_CHER"                 │ 9                  │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "ТЕСТ2"                      │ 99                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "БУХГАЛТЕР"                  │ 12                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "TEST1"                      │ 15                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "NATA"                       │ 6                  │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "DEUS"                       │ 11                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "SERVER1"                    │ 12                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "AT"                         │ 11                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "MSERVICE"                   │ 11                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "BUHL"                       │ 12                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "ASN USER"                   │ 11                 │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "DKONYAEV"                   │ 9                  │
├──────┼──────────────────────────────┼────────────────────┤
│ 4625 │ "ГЛАВНЫЙ БУХГАЛТЕР"          │ 11                 │
├──────┼──────────────────────────────┼────────────────────┤

И т. д. ещё кучу логинов перебирают. Надо через политики запретить вход после 3-х неудачныхпопыток, на полчаса. иначе сбрутят когда-нибудь.
Имена пользователей словарные, что упрощает взлом.

**pollop2125** · 13.12.2021, 04:34

Какой то NL brute удаляй не удаляй он возвращается.

- - - - -Добавлено - - - - -

Вроде правильно сделал

- - - - -Добавлено - - - - -

Как он мог появится на сервере или его кто то подселил?

**Vvvyg** · 13.12.2021, 07:47

Сообщение от pollop2125

Какой то NL brute удаляй не удаляй он возвращается.

Что именно имеете ввиду под NL brute?

Сообщение от pollop2125

Как он мог появится на сервере или его кто то подселил?

Открыт доступ по RDP, идёт подбор паролей. Взламывают и заходят.

Замените все пароли на сложные, погуглите, как политиками ограничить количество разрешенных ошибочных попыток входа с блокировкой на полчаса, не менее.

**pollop2125** · 13.12.2021, 08:24

Сообщение от Vvvyg

Что именно имеете ввиду под NL brute?

Открыт доступ по RDP, идёт подбор паролей. Взламывают и заходят.

Замените все пароли на сложные, погуглите, как политиками ограничить количество разрешенных ошибочных попыток входа с блокировкой на полчаса, не менее.

программа nl brute сама устанавливается.

**Vvvyg** · 13.12.2021, 09:00

Где именно программа находится? Скорее всего не сама собой, а после взлома устанавливают.

**pollop2125** · 13.12.2021, 10:06

C:\Users\Кладовщик\WINDOWS\system

- - - - -Добавлено - - - - -

обычно в эту папку ставят

- - - - -Добавлено - - - - -

малбери антивир который ругается на svchost постоянно

- - - - -Добавлено - - - - -

теперь поменяли адрес с/intel

**Vvvyg** · 13.12.2021, 12:07

Закрывайте возможность взлома пароля, меняйте пароли. Уже писал выше. Иначе ломать постоянно будут, и зашифруют как-нибудь.

**pollop2125** · 13.12.2021, 13:12

А лечение есть какое нибудь чтобы избавится от того что уже произошло?

- - - - -Добавлено - - - - -

а если изменить ip адрес может помочь?

**Vvvyg** · 13.12.2021, 15:51

Смена ip, порта даёт передышку не более, чем на несколько часов, отсканируют, начнут долбить снова. Проблему надо решать принципиально.
Как бы я это делал, будь я админом.

Этап 1.
Изменение всем пользователям паролей на сложные, задаём политиками сложность пароля и минимальную длину 7-8 символов.
Это даёт передышку, не взломают снова какое-то время.

Этап 2.
Изменение имён пользователей на несловарные, чтобы затруднить подбор пары логин/пароль. Все учётки на вашем сервере присутствуют в популярных словарях для брутфорса и поэтому уязвимы.

Этап 3.
Ограничение прав. Учётку Администратор рекомендуется переименовывать ещё на этапе первичной настройки сервера, раз не сделали сразу, хотя бы запретите политикой терминальный доступ с неё. USR1CV8, как я понимаю, тоже не нужен доступ по RDP.

Этап 4. Задаём политикой блокировки учетной записи (локальной, если нет домена, применимо к другим рекомендациям) пороговое значение блокировки 3 ошибки входа, при превышении учётка блокируется на 10-30 минут.
policy.jpg

Всё, мы ограничили возможность сбрутить сервер по RDP.

Далее можно ещё и файрволом на сервер блокировать, на маршрутизаторе - было бы желание.

**pollop2125** · 15.12.2021, 04:54

Спасибо за помощь. Скажите вы сможете настроить политики по фаерфолу. Конечно же на платной основе.

**Vvvyg** · 15.12.2021, 07:15

Лучше найдите специалиста, который займётся этим на месте, некоторые вещи удалённо делать опасно, можно при неверных настройках потерять доступ к серверу.

Да и ничего сложного там нет, можно на форумах специализированных проконсультироваться дополнительно, на ixbt, например.

Лечение компьютера после bitcoin майнеов (заявка № 227429)

Опции темы