Перезагрузки+множественные подключения по 445 порту svchost.exe

[Shkodnik_BLR]

Доброго времени суток.
Пару серверов на Windows 2008R2 внезапно перезагрузились, после перезагрузки пропал доступ на расшаренные на этих серверах каталоги.
Netstat показал огромное подключение на разные айпишники в разные страны мира, который стучится по 445 порту. Telnet сам на себя не может подключиться по 445 порту, хотя слушает его.
TCPView показал, что инициирует подключения svchost.exe, который лежит в каталоге C:\Windows\SysWOW64
Покапавшись в интернете нашел статью от Майков, нашел что подобный вирус создает правило для IPSec...Полез в локальные политики - действительно в безопасности был фильтр с именем "qianye" на 139 и 445 порт TCP/UDP.
В логах нашел, что сервера перезагрузились, чтобы закончить установку "F4RaF" и "dvhvA". Такие каталоги оказались в ProgramFiles, правда пустые.

П.С. обновления изначально на серверах были по каким-то причинам отключены((

[Info_bot]

Уважаемый(ая) Shkodnik_BLR, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

В этих логах не видно ничего вредоносного.

Посмотрим ещё так:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Shkodnik_BLR]

Добрый день, Sandor

Farbar сразу привлек внимание:
"Ms4C3B8EE0App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms4C3B8EE0App => C:\Windows\System32\Ms4C3B8EE0App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)"

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\L ocal\ipsecPolicy{1aa9cb62-5e4d-4bad-a5d1-76da532292b1} <==== ВНИМАНИЕ (Ограничение - IP) - это было ранее обнаружено вручную.

[Sandor]

Попробуем так:

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt

[Shkodnik_BLR]

Sandor,
Новая версия не работает из-за отсутствующих обновлений.
Прикрепил отчет.

[Sandor]

Эту версию вы нашли самостоятельно? Я дал версию 3.1.0.28, а у вас еще более старая.

- - - - -Добавлено - - - - -

Перед применением изменений хорошо бы сделать резервную копию сервера. Есть такая возможность?

[Shkodnik_BLR]

Sandor,
да, это виртуалки уже. Копии есть, можно крутить-вертеть)

[Sandor]

Понятно.

Удалите только

Ms4C3B8EE0App

Отчёт удаления покажите. Перезагрузите систему и соберите новые логи FRST.txt и Addition.txt

[Shkodnik_BLR]

Sandor,
Удалил. ОС загрузилась, все норм. После повторного сканирования - "угроз не обнаружено".

- - - - -Добавлено - - - - -

Прикрепил сканы после удаления.

[Sandor]

Хорошо.
Обратите внимания на разрешения на эти порты:

FirewallRules: [{78D0B81C-A534-405F-9918-ABDDDA9726CD}] => (Allow) LPort=21
FirewallRules: [{45D764F8-9912-4851-B8F9-A273324950D7}] => (Allow) LPort=15200
FirewallRules: [{FAE203DA-821F-41A1-BAD4-C25A5BBD5EC8}] => (Allow) LPort=9089
FirewallRules: [{365E7A8E-365E-4992-B9EC-B939B9A0120F}] => (Allow) LPort=57219

[Shkodnik_BLR]

Я наблюдал за тем, как вирус влетает на комп на виртуалке.
От источника вирус сначала подключается по 445 порту, потом стартует процесс msiexec, после этого ОС открывает и слушает 57219. Источник перепоключается уже на порт 57219, появляется новый процесс svchost.exe (WUDhostServices.exe) и сам комп уже начинается сканировать лок. сетку по 445 порту. А потом уже начинает долбиться и во внешний мир, раскидывая вирусок.
Вот один из примеров адресов: http://164.90.152.252:18075/C558B828.png (причем рабочая ссылка)

- - - - -Добавлено - - - - -

Sandor, спасибо за помощь.