Подозрение на майнер

**SuperFly7** · 19.01.2022, 13:24

Всем привет! Помогите советом, начал наблюдать на машинах исключительно типа Windows 10, случайным образом созданные папки в корне диска С, к примеру (s, h, t, i и тд) содержимое явно не системного или пользовательского характера. На машинах стоит антивирусное по McAffee Endpoint Security - никаких угроз не вызывает, сторонние сканеры так же, содержимое прикрепил. Заранее спасибо! Содержимое папки могу показать отдельно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.01.2022, 13:34

Уважаемый(ая) SuperFly7, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 19.01.2022, 14:44

Признаков майнера по логам нет. Есть повышенная нагрузка на CPU, GPU?

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: OneDrive Reporting Task-S-1-5-21-1812589815-2181933379-3101458171-5201 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Task: OneDrive Reporting Task-S-1-5-21-3962614473-3939030910-685692253-500 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1812589815-2181933379-3101458171-5201 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3962614473-3939030910-685692253-1001 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3962614473-3939030910-685692253-500 - C:\Users\fomin.an\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
	Код:
	>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Создание профилей для CAD 2D.lnk"           -> ["C:\IM\ICO\CreateProfilesCAD2D.exe"]
>>>  "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk"     -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"  =>> ShareFiles]
>>>  "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber.lnk"      -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"]
>>>  "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber(Compatibility Mode).lnk"      -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"  =>> SafeMode]
>>>  "C:\Users\kolenov.m\AppData\Roaming\Microsoft\Windows\Start Menu\Viber.lnk"           -> ["C:\Users\kolenov.m\AppData\Local\Viber\Viber.exe"]
Отчёт о работе прикрепите.

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**SuperFly7** · 19.01.2022, 17:28

Логи с Farbar Recovery Scan Tool

**Vvvyg** · 19.01.2022, 19:23

Надо переделать:

Результат сканирования Farbar Recovery Scan Tool (FRST) (x64) Версия: 15-01-2022
Запущено с помощью kolenov.m (ВНИМАНИЕ: Пользователь не является Администратором) на Z-LIT-11 (Gigabyte Technology Co., Ltd. B460MDS3HV2) (19-01-2022 16:16:3

**SuperFly7** · 20.01.2022, 09:53

Сообщение от Vvvyg

Надо переделать:

Переделал

**Vvvyg** · 20.01.2022, 11:44

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Folder: C:\z
Folder: C:\an
Folder: C:\qy
Folder: C:\s
Folder: C:\ek
Folder: C:\fw
Folder: C:\ff
Folder: C:\v
Folder: C:\l
Folder: C:\el
Folder: C:\ay
Folder: C:\p
Folder: C:\e
Folder: C:\f
Folder: C:\q
Folder: C:\a
Folder: C:\w
Folder: C:\c
Folder: C:\n
Folder: C:\IM
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=96m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**SuperFly7** · 20.01.2022, 13:57

Прикрепил

https://drive.google.com/file/d/1SVx...iYC9IQKS-/view

**Vvvyg** · 20.01.2022, 16:57

На этой системе активного зловреда нет. Но некоторые вещи смущают.

Судя по набору файлов в папках, это что-то связанное с Tor. Либо юзер пытается использовать Tor browser, либо по сети ходит какая-то зараза, которая через Tor пытается достучаться до своих управляющих центров. Это и трояны могут быть, и шифровальщики, и бэкдоры, вот ссылки на подобные:
Trojan.DownLoader30.31088
RANSOM_SIGMA.B

И по журналам, похоже, были попытки брутфорса паролей учёток:
[+] Detection: (Built-in Logic) - Account Brute Forcing

Код:

┌──────┬─────────────────┬────────────────────┐
│  id  │    username     │ failed_login_count │
├──────┼─────────────────┼────────────────────┤
│ 4625 │ "kolenov.m"     │ 12                 │
├──────┼─────────────────┼────────────────────┤
│ 4625 │ "администратор" │ 10                 │
└──────┴─────────────────┴────────────────────┘

Кто владелец этих папок, посмотрите. Рекомендую включить аудит создания и удаления файлов для корневой папки диска C:, а также сменить администраторские пароли. И проверять, например, KVRT или Dr. Web CureIt! все компьютеры домена.

Подозрение на майнер (заявка № 227542)

Опции темы