Хорошо, ждём.
Хорошо, ждём.
WBR,
Vadim
Опять всплыл. Теперь в новой папке и под обычным пользователем. Новых пользователей администраторов нет..
Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
WBR,
Vadim
Я снес процесс и он не проявляется больше. Есть смысл делать логи или подождать пока он снова вылезет?
Если под обычным пользователем - может, и не появится. Под каким именно, как/откуда мог попасть в систему, есть идеи?
WBR,
Vadim
Раньше он запускался и висел в процессах от имени СИСТЕМА. После вашей помощи он запустился из другой папки и под именем рядового пользователя АСЕЕВА. Я проверил все компьютеры, имеющие доступ к серверу, там все чисто.. У меня вариантов нет... Есть олна призрачная идея, что вирус находится на одном из Терминалов Сбора Данных (Прибор работает на Андройд 4.4.2 и обращается к серверу через Smart Mobile службу).. Сейчас майнера нет. НО мы так и не нашли откуда он приходит, вот и не знаю, что сейчас лучше сделать....
У меня сейчас отключена учетка Администратора и отключена служба. И то и другое нужно будет включать. ПО Smart Mobile я переустановлю на новую версию, с сайта производителя. А вот Администратора почистить я не могу..
Про Smart Mobile были подозрения. К серверу этому есть доступ из интернета, могут через него ломать.
Ждём новостей.
WBR,
Vadim
Вообщем вылез опять
http://rgho.st/7SGSmqbR8
под рядовым пользователем без прав администратора работает
Выполните скрипт в UVS:Новый лог выполнения скрипта прикрепите.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\TEMP\SVCHOST.EXE addsgn BA6F9BB2926FEE7206D4AEB164C8FA583081FC1E3106E08715538D3F94FEB2DC705F40BB1ED054C0E0F4AC6053317BF77D97657F4D01BB2C61FAEC4F86BE0873 8 Tool.BtcMine.389 [DrWeb] 7 chklst delvir delref HTTP://WWW.MAIL.RU/CNT/7829 delref KERNCAP.VBS czoo
Свежий ZOO_ отправьте в карантин. Другой несколько майнер. Файл создан 17.07.2017 в 11:28:16, запускался из explorer.exe под юзером Игаунь - он в терминале работает? Можно с его компьютера полный образ автозапуска uVS?
WBR,
Vadim
Файл отправил в карантин
Лог выполнения скрипта: http://rgho.st/private/6nfHWqfPc/122...6ef9eeb4c7b058
Прикладываю два сканирования.
Первое это компьютер пользователя Асеева, под которым вылез вирус после чистки
http://rgho.st/75wPbKLkx
Второе это пользователь Игуань
http://rgho.st/8rGRp5zbD
- - - - -Добавлено - - - - -
снова появился под пользователем Асеева
На каких ещё компьютерах есть этот пользователь? Смените ему пароль.
Есть ли у него доступ по RDP снаружи?
Время создания файла майнера - что-то подозрительное есть в журналах сервера? Работал ли в это время пользователь Асеева в терминале на сервере?
У вас там Mikrotik? Запретите на нём доступ к адресам хотя бы этого сервера майнинга: xmr-eu.dwarfpool.com
Addresses: 178.32.145.31
178.32.196.217
79.137.57.106
А ещё лучше и доступ наружу по порту 8080, на нём сервера майнинга и прокси.
Оба компьютера чисты. Всео бновления на них установлены?
WBR,
Vadim
Каждый пользователь работает сугубо под своим именем и только на одном комьютере. И пользователь Игуань и пользователь Асеева находятся за пределами физического расположения сервера и подключаются к нему через интернет по РДП.
Вчера майнер висел под пользователем Асеева. Но как только Асеева завершила сеанс, майнер соотвественно исчез. Сегодня Асеева работает уже два часа по РДП и майнер не появляется... По какому принципу идет его запуск от этих двух пользователей я не пойму... Нет никакой привязки по времени и никакой последовательности...
В журналах по времени создания ничего интересного нет
Микротика у нас нет, но на роутере можно заблокировать айпи. Заблокировал все тсп соединения по этим трем айпишникам, ну и на всякий случай еще в хостс их прописал. Сейчас сменю паролю обоим пользователям. Их компьютеры чисты, я несколько раз разными антивирусами проверял, обновления все стоят.. Будем смотреть ((
Хорошо, ждём-с...
WBR,
Vadim
Опять запустился под пользователем Игуань.
Причем самого пользователя физически нет сегодня, НО север показывает, что он был активен 5 часов назад. Пароли у пользователя для доступа к серверу были сменены...
Куда копать и что делать...
Задача чисто админская, не думаю, что новый. никому неизвестный эксплоит используют для банального и малоэффективного майнинга.
В логах есть информация, откуда подклбчался пользователь?
WBR,
Vadim
И так в логах стоит айпишник
176.15.98.220
Это крайне далеко от моего города
С этого айпи подключается по нескольким моим пользователям. Всех их удалил
http://rgho.st/8GVTYNt7S
Новый лог автозагрузки... Теперь два процесса и полная блокировка доступа к компу....
Сразу предупрежу, снять процессы не могу, сразу синий экран
В безопасный режим не могу зайти, сразу синий экран
Вопрос, как он подключается ко мне, каким образом под логинами нескольких пользователей? Троян? Скомпрометирован весь список паролей?
Последний раз редактировалось DIShat; 23.07.2017 в 14:22.
Запретите в маршрутизаторе, либо в системном брандмауэре доступ из левых подсетей, разрешите только для нужных.
Полечим мягко, без снятия процессов. Скрипт:И после перезагрузки восстановление системных DLL:Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE sreg zoo %Sys32%\SACSVR.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4 zoo %Sys32%\MMCSS.DLL zoo E:\CONSUSERDATA\SVCHOST.EXE addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6 chklst delvir czoo apply aregЗакрывайте доступ по RDP полностью, пока не разберётесь в утечке учётных данных.Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c sfc %Sys32%\MMCSS.DLL sfc %Sys32%\SACSVR.DLL
Есть ip адрес и время подключения паскудника - есть повод обратиться в полицию, отдел "К", говорят, иногда даже выполняет свои функции. Или хотя бы на Корбину/Билайн с жалобой выйти на их пользователя.
WBR,
Vadim
http://www.securitylab.ru/news/487311.php - не тот ли самый случай?
WBR,
Vadim
Вполне возможно.. Я меняю пользователю пароль, а уже через час под ним заходят с левого айпи
РДП закрыли своей подсетью, поменяли внешние айпи и порты, сменили всем пользоватлеям пароли. Щас будем смотреть
У меня явное чувство, что Mobile SMARTS Сервер тут причём. Нет у меня данных чтобы выступить с обоснованными обвинениями - но, извините, это уже не просто совпадение. На этом форуме ещё тема с тем же непонятно откуда берущимся майнером, на форуме Dr. Web то же самое, да ещё в частном порядке ко мне обратился человек - и, не поверите, и у него на сервере эта же программа установлена.
"Совпадение? Не думаю"(С)
Кстати, на форуме зелёного антивируса тоже спрашивали:Так что, либо в этом софте уязвимость, замеченная и эксплуатируемая кем-то, либо закладочка-бэкдор, оставленная одним из разработчиков. Как вариант - фирма-установщик софта постаралась. 2-й вариант мне кажется более вероятным.Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?
Оговорюсь ещё раз - это лишь мои личные предположения, а не клевета/очернение и т. п. Но в ТП Клеверенс я бы рекомендовал обратиться за разъяснениями, оснований для проверки кода программы и внутреннего расследования достаточно. Да и засранца, который майнер запускает, это спугнёт наверняка.
WBR,
Vadim
Уважаемый(ая) DIShat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.