Показано с 1 по 12 из 12.

VBS-шифровальщик [HEUR:Trojan.MSIL.Miner.gen, not-a-virus:HEUR:RiskTool.Win32.BitCoinMin= er.gen] (заявка № 222563)

  1. #1
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    35

    VBS-шифровальщик [HEUR:Trojan.MSIL.Miner.gen, not-a-virus:HEUR:RiskTool.Win32.BitCoinMin= er.gen]

    Добрый день!
    На нашем сервере был открыт порт 3389 для всех желающих, с защитой от перебора пароля в виде блокировки по айпи после N-ного количества попыток (реализовано средствами микротик)
    В результате, похоже, РДП взломали и засадили какого-то шифровальщика, который слава богу не сработал т.к. в системе запрещены VBS-скрипты.
    Шифровальщик гнездится в
    c:\programdata\snogofa\ljeki.exe
    c:\windows\fonts\ctfmon.vbs
    и запускается через планировщик задач. Это все я отключил, установил есет на сервер, проверился. Есет ничего не нашел, однако, определенно, какая-то дрянь еще есть. Вижу по симптомам. Например, запущеный тотал коммандер пропадает через 2 секунды без всяких сообщений.
    Помогите вычислить вредоноса!

    P.S. это рабочий бухгалтерский сервер. Хочется по-минимуму перезагрузок и по возможности лечения вручную, чтобы я понимал, что именно происходит.

    P.P.S. на данный момент установил все обновления, какие windows update предложил
    Вложения Вложения
    Последний раз редактировалось dlosk; 21.04.2019 в 13:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,315
    Вес репутации
    351
    Уважаемый(ая) dlosk, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,038
    Вес репутации
    915
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\ProgramData\Snogofa\Ljeki.exe');
     TerminateProcessByName('C:\ProgramData\Snogofa\Uhera.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\Radiance\wahiver64.exe');
     TerminateProcessByName('c:\windows\syswow64\radiance\wizard.exe');
     QuarantineFile('C:\Distrib\update.bat', '');
     QuarantineFile('C:\ProgramData\Snogofa\Ljeki.exe', '');
     QuarantineFile('C:\ProgramData\Snogofa\Uhera.exe', '');
     QuarantineFile('C:\Users\dlosk\AppData\Local\Temp\4\nsj5CEF.tmp\System.dll', '');
     QuarantineFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
     QuarantineFile('c:\windows\syswow64\radiance\wizard.exe', '');
     QuarantineFile('wahiver64.exe', '');
     DeleteFile('C:\ProgramData\Snogofa\Ljeki.exe', '');
     DeleteFile('C:\ProgramData\Snogofa\Uhera.exe', '');
     DeleteFile('C:\Users\dlosk\AppData\Local\Temp\4\nsj5CEF.tmp\System.dll', '');
     DeleteFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
     DeleteFile('c:\windows\syswow64\radiance\wizard.exe', '');
     DeleteFile('wahiver64.exe', '');
     DeleteFileMask('c:\programdata\snogofa', '*', true);
     DeleteFileMask('c:\windows\syswow64\radiance', '*', true);
     DeleteDirectory('c:\programdata\snogofa');
     DeleteDirectory('c:\windows\syswow64\radiance');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    end.
    Перезагрузите сервер.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    35
    Файл update.bat мне знаком. Он обновляет наш DDNS каждые 15 минут.
    Результат работы UVS прикрепляю к сообщению
    Лог работы скрипта AVZ также прикрепляю
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,038
    Вес репутации
    915
    Справились, подчистим остатки.

    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    OFFSGNSAVE
    deltmp
    deltsk %SystemDrive%\PROGRAMDATA\SNOGOFA\LJEKI.EXE
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Если папки C:\ProgramData\Snogofa и c:\windows\syswow64\radiance остались, удалите вручную.

    Защиту от брутфорса лучше установиь политиками на сервере, а доступ по RDP давать только для нужных сетей.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    35
    Папки успешно удалены UVS
    Вроде все хорошо, но тотал все равно вылетает. Причем вылетает только если с ним активно работать. Если открыть и ничего не делать - работает. Если серфить по каталогам - вылетает.
    Думаю, тотал у меня глючный. На всякий случай прогоню еще тест ОЗУ, но других проблем не замечено, вряд ли память.

    За помощь в лечении огромное спасибо!
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,038
    Вес репутации
    915
    Судя по логу, ещё не всё зачистили:
    (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE [2884], tid=3792
    (!) Не удалось получить доступ к C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE
    Не удалось открыть файл: C:\WINDOWS\SYSWOW64\RADIANCE\WIZARD.EXE
    это точно добили? Если нет уверенности, сделайте новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник и дайте ссылку в теме.

    И такой ещё лог.
    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    35
    https://drive.google.com/file/d/1TWY...ew?usp=sharing
    Лог TDSSKiller приложен к этому сообщению
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,038
    Вес репутации
    915
    ESTABLISHED 192.168.1.200:3389 <-> 217.118.83.171:13932
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.16:49164
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.76.17:49217
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.8.50:49222
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.103:49333
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.76.13:49483
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.14:49532
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.64:50324
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.8.50:51884
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.6:56600
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.5:59672
    ESTABLISHED 192.168.1.200:3389 <-> 192.168.1.22:61379
    CLOSE_WAIT 192.168.1.200:3389 <-> 82.207.46.234:60955
    Первый и последний - точно ваши юзеры? Особенно последний, с украинского ip.

    Смените пароли всех пользователей, как минимум, с правами администратора.

    Загрузите систему в безопасном режиме.

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.1.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    icsuspend
    zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
    delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
    zoo %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
    delall %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
    delall %SystemRoot%\SYSWOW64\RADIANCE\SQLITE3-64.DLL
    deldir %SystemRoot%\SYSWOW64\RADIANCE
    apply
    czoo
    restart
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    21.12.2009
    Сообщений
    14
    Вес репутации
    35

    не сдается

    В общем, даже из безопасного режима UVS не смог добыть карантин.
    В следующий раз принесу какой-нибудь линукс на флешке к ним, попробую руками из-под него добыть.
    логи прикрепляю
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,038
    Вес репутации
    915
    Тогда уж просто удаляйте всю папку с LiveUSB. Хорошо защищается, гадость этакая...

    Хотя ещё можно попробовать, там через Hide Folders блокируется.
    В безопасном режиме сделайте.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    (FSPro Labs) C:\Windows\SysWOW64\fsproflt2.exe
    HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
    "C:\Windows\System32\Tasks\Microsoft\Windows\Location" could not be unlocked Error: 5. <==== ATTENTION
    Task: {B03072A2-6220-4D44-8355-89CC3F21C954} - \Microsoft\Windows\Location\GoogleUpdateCore -> No File <==== ATTENTION
    "C:\Windows\System32\Tasks\Microsoft\Windows\Location" could not be unlocked Error: 5. <==== ATTENTION
    Task: {D44B0917-2D82-4745-90E9-2D3CFB531DFD} - \Microsoft\Windows\Location\Scheduled -> No File <==== ATTENTION
    R2 fsproflt2; C:\Windows\SysWOW64\fsproflt2.exe [0 0000-00-00] (FSPro Labs) <==== ATTENTION (zero byte File/Folder)
    C:\Windows\SysWOW64\fsproflt2.exe
    AlternateDataStreams: C:\Windows:Active.txt [13]
    AlternateDataStreams: C:\Windows\Temp:Account.txt [28]
    AlternateDataStreams: C:\Users\OBMEN\AppData\Local\Temp:Account.txt [0]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fsproflt2 => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\fsproflt2 => ""="Service"
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Потом, думаю, можно и UVS дочистить.
    Последний раз редактировалось Vvvyg; 27.04.2019 в 11:00.
    WBR,
    Vadim

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    958

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\programdata\snogofa\ljeki.exe - HEUR:Trojan.MSIL.Miner.ge=
        n
        ( AVAST4: Win64:Trojan-gen )
      2. c:\programdata\snogofa\uhera.exe - not-a-virus:HEUR:RiskTool=
        =2EWin32.BitCoinMiner.gen
        ( AVAST4: Win32:CryptoMiner-L [Trj] )

  • Уважаемый(ая) dlosk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 21.01.2019, 23:12
    2. Ответов: 9
      Последнее сообщение: 07.09.2018, 20:42
    3. Ответов: 16
      Последнее сообщение: 29.09.2014, 22:52
    4. Карантин EC0B318036FF86200F09915398477F0C [Trojan.VBS.Qhost.fw, Trojan.VBS.Qhost.cp ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 18.12.2013, 18:51
    5. Ответов: 8
      Последнее сообщение: 04.09.2013, 08:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01003 seconds with 17 queries