Показано с 1 по 5 из 5.

Не могу избавиться от Tool.BtcMine.2492 [HEUR:Trojan.Win32.Miner.gen] (заявка № 226650)

  1. #1
    Junior Member Репутация
    Регистрация
    15.10.2010
    Сообщений
    10
    Вес репутации
    39

    Не могу избавиться от Tool.BtcMine.2492 [HEUR:Trojan.Win32.Miner.gen]

    С февраля месяца (если не раньше) с интервалом в 3-7-10 дней возвращается зловред и "майнит", отбирая на себя все ресурсы ЦПУ. Вирус маскируется под системный процесс System.exe якобы от издателя COM Surrogate
    Антивирус NOD32 Endpoint подозрительного ничего не находит, за исключением того, когда пару недель было "тихо", а в каратнине появились записи про блокировку объектов:

    123.png

    Прибить удается cureit-ом, но не на долго. Обновил систему всеми последними обновками. Пробовал штатный виндовый антивирус - так же ничего не сообщает, даже при запущеном вирусе. Подозрительных программ нет, лишних заданий по расписанию тоже, в автозагрузке, вроде бы как, все, что нужно. Система на ВПС, поэтому, из-под реаниматора какого-нить антивируса проверить не могу.

    Прошу помощи, т.к. не знаю куда копать...
    Вложения Вложения
    Последний раз редактировалось shlyambur; 29.03.2021 в 22:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,301
    Вес репутации
    363
    Уважаемый(ая) shlyambur, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     TerminateProcessByName('C:\Windows\Temp\System.exe');
     QuarantineFile('C:\Windows\Temp\System.exe', '');
     DeleteFile('C:\Windows\Temp\System.exe', '');
     DeleteFile('C:\Windows\Temp\System.exe', '64');
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    Перезагрузите сервер

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    15.10.2010
    Сообщений
    10
    Вес репутации
    39
    сделал все, как и указали
    1. файл карантина отправил - "Файл сохранён как 210330_103702_quarantine_6062ff4e54e16.zip"
    2. лог AVZ а также логи FRST в прикрепленных файлах
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    Есть подозрение, что проникают в систему, скорее всего, по RDP и подсаживают майнер.

    Смените пароль пользователя Administrator.
    Лучше не использовать для удалённого доступа учётки со стандартными именами.
    Также нужно заблокировать брутфорс по RDP, сейчас ваш сервер можно ломать до победного конца. Вот годная инструкция, единственно, там предлагают использовать x86 версию IPBan и прямая ссылка на устаревшую версию, используйте x64 актуальный билд.

    Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы Дополнительно -> Твики -> 39 "Включить отслеживание процессов и задач".
    Перезагрузите систему, если майнер появится снова, сделайте полный образ автозапуска uVS.

    Зачем все эти порты открыты наружу? Чтобы облегчить взлом?
    88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-30 04:48:08Z)
    135/tcp open msrpc Microsoft Windows RPC
    139/tcp open netbios-ssn Microsoft Windows netbios-ssn
    445/tcp open microsoft-ds Windows Server 2012 R2 Datacenter 9600 microsoft-ds (workgroup: LOKRI)
    464/tcp open kpasswd5?
    593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    636/tcp open tcpwrapped
    3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: lokri.local, Site: Default-First-Site-Name)
    3269/tcp open tcpwrapped
    5504/tcp open msrpc Microsoft Windows RPC
    5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
    9389/tcp open mc-nmf .NET Message Framing
    45769/tcp open unknown
    49154/tcp open msrpc Microsoft Windows RPC
    49155/tcp open msrpc Microsoft Windows RPC
    49157/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    49158/tcp open msrpc Microsoft Windows RPC
    49159/tcp open msrpc Microsoft Windows RPC
    49177/tcp open msrpc Microsoft Windows RPC
    49189/tcp open msrpc Microsoft Windows RPC
    49194/tcp open msrpc Microsoft Windows RPC
    49214/tcp open msrpc Microsoft Windows RPC
    Система, кстати, обновлена?
    WBR,
    Vadim

Похожие темы

  1. Помощь с tool.btcmine.569
    От fanta в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 02.09.2017, 11:31
  2. Ответов: 9
    Последнее сообщение: 07.06.2015, 14:19
  3. Ответов: 7
    Последнее сообщение: 31.03.2015, 10:48
  4. Помогите убить вирус Tool.BtcMine.394.
    От SplashDM в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.08.2014, 20:25
  5. tool.btcmine.209 вирус [not-a-virus:HEUR:Downloader.Win32.LMN.gen ]
    От supermari90 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 31.03.2014, 10:30

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01299 seconds with 20 queries