Решена Майнер, так же подозрение на kido

[Lunik]

Добрый день! Прошу перепроверить меня.
Был пойман майнер так же было подозрение кидо
Произвел лечение gmer утилитой были найдены службы и удалены. После чег произвел лечение через АВЗ
Щас АВЗ выдает подозрение на маскировку процесса Сделал лог gmer заного. Так же остались следы .
Логи прилагаю.

Проблемы с майнером не наблюдается в данный момент но есть подозрения.

Карантин если надо могу прислать сохранил.

 

[akok]

1.Компьютер перезагрузится после выполнения скрипта
2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Adobe Reader','64');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe

Качайте https://free.drweb.ru/cureit/ и проверяйте систему. Отчет сканирования приложите.

 

[Lunik]

2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?

Бэкапы 1С сделаны.
Через Тим Вивер

O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe

Отсутствуют

 

[akok]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Sandor]

+

Отсутствуют

Утилиту использовали из состава Автологера?

 

[Lunik]

+

Утилиту использовали из состава Автологера?

Да

 

[Sandor]

Соберите и прикрепите свежие логи FRST.

 

[Lunik]

Соберите и прикрепите свежие логи FRST.

 

[akok]

Знакомо?
%systemroot%\system32\silcollector.cmd

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Task: {443CDF2C-FD63-4E4B-8297-3D78B15D1B81} - \Adobe Reader -> No File <==== ATTENTION
  Task: {4CFD2378-216E-4FCD-993D-A1E441924C48} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Lunik]

Знакомо?
%systemroot%\system32\silcollector.cmd

Нет

 

[akok]

Нет

Каково содержимое файла? А то удалить "легитим" желания нет.

 

[Lunik]

По данным относится к какой-то инвентаризации.
На этом сервер точно ее нет и она не делается.

Спойлер: Код файла

@echo off
setlocal enabledelayedexpansion

rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
rem
rem Copyright (C) 2013, Microsoft Corporation.
rem All rights reserved.
rem
rem File Name:
rem silcollector.cmd
rem
rem Abstract:
rem This script supports two modes:
rem 1. To configure SIL from the boot task.
rem 2. To invoke collection from the collector task.
rem
rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

set configurationlog="%temp%\silconfig.log"

if "%~1"=="configure" goto configure
if "%~1"=="publish" goto publish

:usage

echo silcollector.cmd configure
echo silcollector.cmd publish [configuration file]

goto :eof


:configure

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectionstate /reg:64') do (
set /a loggingstate=%%g
)

if "%loggingstate%"=="0" (
echo "%date% @ %time% --> Not configuring Software Inventory Logging as it is not enabled." > %configurationlog%
goto :eof
)

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectiontime /reg:64') do (
set loggingtime=%%g
)

for /f "tokens=1-8 delims=-T:+" %%g in ("%loggingtime%") do (
set year=%%g
set month=%%h
set day=%%i
set hour=%%j
set minute=%%k
set second=%%l
set /a tzoffset=0
set /a tzoffset=%%m*60 + %%n
)

echo "%date% @ %time% --> Enabling Software Inventory Logging to publish data at %year%/%month%/%day% %hour%:%minute%:%second%+%tzoffset%" > %configurationlog%
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msftsil_managementtasks call setloggingstate %loggingstate% >NUL 2>&1
if %ERRORLEVEL% neq 0 (
echo "%date% @ %time% --> Failed to enable Software Inventory Logging with error code %ERRORLEVEL%." >> %configurationlog%
)

goto :eof


ublish

set config=%~2
if "%config%"=="" set config=silstream.mof
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msft_mistreamtasks call push true,%config% >NUL 2>&1

goto :eof

 

[akok]

Тогда пусть висит, что с проблемами?

 

[Lunik]

Проблем нет.

 

[Sandor]

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить. Но до того:

2. Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.