Добрый вечер, схватил Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961,

[Mr,Proxe]

Добрый вечер, схватил букет вирусов Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961, после восстановления системы из образа они появляются в течении 5-7 минут.Dr. Web Cureit их находит, перемещает в карантин. Но после перезагрузки перестаёт работать удалённый доступ, а соответствующая служба просто пропадает. Можно как удалить эту заразу, без потери службы удалённого доступа. Огромное спасибо...

[Info_bot]

Уважаемый(ая) Mr,Proxe, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте и распакуйте утилиту AV block remove.
Загрузите систему в безопасном режиме!
Запустите AV block remove, следуйте инструкциям.
После перезагрузки файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Mr,Proxe]

Все проделал согласно инструкций, логи во вложении. Диспетчер вроде перестал закрываться, мониторю работу системы.

- - - - -Добавлено - - - - -

Неа, опять он появился, опять диспетчер закрывается каждые 3 минуты.Все вернулось

[Vvvyg]

На момент сбора логов FRST всё хорошо было, AV_block_remove отработал штатно.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
2021-07-03 16:14 - 2021-07-03 01:59 - 000005367 _____ C:\Windows\system32\Drivers\etc\2021-07-03_16-14_hosts.bak
2021-07-03 08:28 - 2021-07-03 15:51 - 011139072 _____ C:\ProgramData\temp5.exe
2021-07-03 01:59 - 2021-07-03 15:58 - 000010400 _____ C:\rdpwrap.txt
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\Windows\svchost.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\Windows\java.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\Windows\boy.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\ProgramData\script.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\ProgramData\olly.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\ProgramData\lsass2.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\ProgramData\lsass.exe
2021-07-03 01:58 - 2021-07-03 01:58 - 000000000 ___SH C:\ProgramData\kz.exe
FirewallRules: [{8247AE2A-B9EA-4D9D-A480-E4571BB315F8}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
FirewallRules: [{B331FF29-925F-4C86-9EFF-D57A4126F567}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
FirewallRules: [{8ACB888E-0E4D-4E60-A5CD-170DBB7B27C0}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{732A98AA-ADBC-4F1F-811E-7016E8F10799}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{49249058-8178-436A-9D5C-849312D7AD30}] => (Allow) C:\ProgramData\windows\rutserv.exe => Нет файла
FirewallRules: [{8536FBE5-5B28-4A74-A6F3-A00B20706D94}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{870F098C-825D-4E06-8E54-C554B9FBFD1D}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{A5167E66-95AC-4828-BA88-075D9874243A}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{3AB7C897-437F-48B7-9C39-7FA360689965}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{E47FB5D6-81D7-40D6-BAFE-03D81CAEC9BA}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{5B586BD2-BF9A-4C10-8FE8-51E4128DC586}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{2AA46D39-DCBB-4C03-8AFF-CD97D7FD2128}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{6E5E9AD4-0CDD-40B6-9417-291E8095B4E7}] => (Block) LPort=445
FirewallRules: [{937F3E42-1828-4903-A71B-84FDE35EF47B}] => (Block) LPort=139
FirewallRules: [{C602949A-B4AD-4544-8AB2-E44F5F3AE0C2}] => (Block) LPort=445
FirewallRules: [{033DD78A-6339-4AF7-B45B-5ED8404F4129}] => (Block) LPort=139
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

У вас там Mikrotik с древней прошивкой, веб-интерфейсом и WinBox наружу и кучей уязвимостей, похоже взломан и в сети хохяйничают плохие парни.

Уязвимость Mikrotik позволяет получать список всех пользователей через winbox.
Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

[Mr,Proxe]

В какой буфер обмена? винды? Просто сделать cntrl-c?

- - - - -Добавлено - - - - -

Прошивку на mikrotik-e обновил до последней, команды выполнил в frst.exe, лог прилагаю.Вложение 685348Fixlog.txt

[Vvvyg]

Обновить прошивку мало. Проверьте наличие левых пользователей, скриптов, прокси, меняйте пароли. Рекомендуют вообще делать полный сброс конфига и настраивать с нуля.
Открыто много портов, если не сами делали - лучше перенастройте с нуля, сходите, например, на форум там и инструкции дельные есть, и помогут.
В личку отправил ссылку на отчёт Nmap.

Ну и, не удивлён, что на сервере отсуствует самое важное критическое обновление, про MS17-010 и шифровальщики WannaCry и Petya/NotPetya Вы тоже не слышали, погуглите на досуге.

Устанавливайте обновления:

MS17-010: Обновления безопасности для Windows SMB Server
http://download.windowsupdate.com/d/...2d8c4e92b3.msu

Накопительное обновление безопасности для браузера Internet Explorer
http://download.windowsupdate.com/c/...37c634b764.msu

Уязвимость в ядре Windows может допустить повышение уровня полномочий
https://www.microsoft.com/downloads/...5-3fd5be147cf4

Обновление для системы безопасности Microsoft Office Word 2007
https://www.microsoft.com/downloads/...8-6ccfdfa399c5

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
https://www.microsoft.com/downloads/...0-4b18081bd536

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Mr,Proxe]

Про вирус слышал, но всегда сервер был закрыт и для интернета и для людей в виде рдп и прочего, а потом в авральном режиме, команда сделать все, ну короче человеческий фактор.На микротике пароли сменил, более основательно завтра буду перенастраивать, исправлять, однозначно, спасибо за открытие глаз... Лог приложил...

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\FRST64.EXE
hide D:\VIRUS RESHENIE\FRST64.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F11623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 Backdoor.Win32.RMS.pm [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 Program.RemoteAdmin.753 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FFB5D18FC3813792F5BB0DD4C78774FE1196886F09810AEF1C4939355C045ABD5D982C2D3F21EFB30C9B65 12 Trojan.AutoIt.710 [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\RUNDLL.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD1549720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 15 Win64/CoinMiner.YM [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\SYSTEM.EXE
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 16 NetTool.Win32.Portscan.ne [Kaspersky] 7

zoo %SystemDrive%\PROGRAMDATA\TEMP5.EXE
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Trojan.BAT.Miner.hr [Kaspersky] 7

chklst
delvir

regt 14
deldir %SystemDrive%\PROGRAMDATA\WINDOWS
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir %SystemDrive%\PROGRAMDATA\REALTEKHD
deldir %SystemDrive%\PROGRAMDATA\RUNDLL

deltmp
delall E:\TASKMGR.BAT

czoo
cexec wevtutil.exe epl Security Security.evtx
cexec wevtutil.exe epl System system.evtx
cexec wevtutil.exe epl Application Application.evtx
cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx

apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Меняйте и адимнские пароли в системе, на компьютерах пройдитесь KVRT или Dr. Web CureIt! для порядка. В общем, нужен полный аудит безопасности.

[Mr,Proxe]

Спасибо вам огромнейшие, ситуация оказался просто как мир. И приславутый человеческий фактор. Несколько недель назад в сервер был вставлен флеш накопитель, без каких либо проверок. На нем то и был я так понимаю вирус, после чего cureit он был удалён и всё работало, до первой перезагрузки. И тут началось, слетел удалённый рабочий стол и так далее. А про флешку я и забыл во все. А ваш скрипт, который в безопасном режиме я запуска, удалил вирус чётко. Но потом загружаясь обратно, забыв про флешку, система снова с неё заражалась. Сегодня утром меня прям озарило, когда я увидел эту грёбанную флешку. Выдернул её, зашёл в безопасно режиме, с помощью вашей утилиты всё удали. Пока работает, уже полчаса, полёт отличный. Спасибо вам огромнейшие, я конечно дальше буду мониторить, но пока не вируса, не закрывающегося диспетчера не наблюдается. Ещё раз спасибо... Позже отпишусь, если ещё что-нибудь проявиться

- - - - -Добавлено - - - - -

Пароли сменил, остальные машины на проверке, но вроде пока чисто. На сервер все повторилось через 3 часа.
Карантин загрузил, Все сделал согласно инструкции.
Events
https://cloud.mail.ru/public/v3cH/trQVyw7Rv

- - - - -Добавлено - - - - -

Опять вирус вернулся... Все проделал согласно инструкции.

[Vvvyg]

Снова пролечите систему с помощью AV block remove.

Ещё из проблем - Dr.Web Enterprise Server неработает.
И проблемы с HDD:

Драйвер обнаружил ошибку контроллера \Device\Harddisk4\DR4.
Драйвер обнаружил ошибку контроллера \Device\Harddisk3\DR3.

B самое печальное - идёт перебор учёток и паролей на сервере:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ТЕСТ
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064

То же с именами пользователей RECEPTION, ПОЛЬЗОВАТЕЛЬ1, HOSPITAL, и т. д. и т. п.
Это происходило сегодня. Закрывайте в Mikrotik всё, что можно, снаружи.

Ну и по защите RDP почитайте.

[Mr,Proxe]

Добрый вечер, с портами разобрался, rdp прикрыл. Dr.web запустил. Пароли поменял. Но вот перегрузившись в безопасный режим и Снова пролечив систему с помощью AV block remove, после перезагрузки, вирус вернулся. Я конечно же опять использовал тот последний скрипт для uVs, и вроде он удалился. Мне кажется не связано ли это с тем, что в безопасном режиме я захожу под локальным админом, так как загружаю безопасный режим без сети. Или какая то другая причина? Зачистка полная же проходит под доменной учёткой, а в локальные папки он не попадает, так что ли?

[Vvvyg]

После скрипта UVS нужна перезагрузка. С правами админа всё равно под кем лечить, разницы нет.
И после первого прогона AV block remove было видно по логам FRST, что майнер был зачищен полностью, но потом вернулся снова. Значит, либо по сети распространяется, либо снаружи не всё законопатили. Управление через web и winbox открыто, MikroTik bandwidth-test server висит на порту 2000, 53-й порт открыт и 1723.

Сделайте в winbox экспорт конфига без ключей и паролей командой

Код:

/export hide-sensitive

Затем по ПКМ Copy All и результат напишите в личку (оформите с тэгом CODE #. Посмотрю, что там наворочено в Mikrotik.

[Mr,Proxe]

Добрый день, в итоге был найден реальный очаг заразы, это оказался, всеми забытый тестовый почтовик, без доменов и прочего. Мы думали, что он вообще выключенный, но зараза походу залезла и на него, он был без паролей вообще, а потом от туда перекидывалась на вылеченый комп периодически. Сейчас сделали полный круг по всем компа, после лечения этого и всех зараженных. Вроде второй день работы, нигде ничего не проявляется. Спасибо ещё раз, за помощь. В ближайшее время займусь микротик, есть много не нужного, что подключаю на нем.