Решена Майнер, так же подозрение на kido

Статус
В этой теме нельзя размещать новые ответы.

Lunik

Практикант
Сообщения
443
Симпатии
91
Баллы
78
#1
Добрый день! Прошу перепроверить меня.
Был пойман майнер так же было подозрение кидо
Произвел лечение gmer утилитой были найдены службы и удалены. После чег произвел лечение через АВЗ
Щас АВЗ выдает подозрение на маскировку процесса Сделал лог gmer заного. Так же остались следы .
Логи прилагаю.

Проблемы с майнером не наблюдается в данный момент но есть подозрения.

Карантин если надо могу прислать сохранил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#2
1.Компьютер перезагрузится после выполнения скрипта
2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Adobe Reader','64');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe
Качайте https://free.drweb.ru/cureit/ и проверяйте систему. Отчет сканирования приложите.
 

Lunik

Практикант
Сообщения
443
Симпатии
91
Баллы
78
#3
2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?
Бэкапы 1С сделаны.
Через Тим Вивер




Код:
O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe
Отсутствуют
Сообщения объединены:

 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#4
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,318
Симпатии
1,580
Баллы
433
#7
Соберите и прикрепите свежие логи FRST.
 

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#9
Знакомо?
%systemroot%\system32\silcollector.cmd

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {443CDF2C-FD63-4E4B-8297-3D78B15D1B81} - \Adobe Reader -> No File <==== ATTENTION
    Task: {4CFD2378-216E-4FCD-993D-A1E441924C48} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Lunik

Практикант
Сообщения
443
Симпатии
91
Баллы
78
#12
По данным относится к какой-то инвентаризации.
На этом сервер точно ее нет и она не делается.

@echo off
setlocal enabledelayedexpansion

rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
rem
rem Copyright (C) 2013, Microsoft Corporation.
rem All rights reserved.
rem
rem File Name:
rem silcollector.cmd
rem
rem Abstract:
rem This script supports two modes:
rem 1. To configure SIL from the boot task.
rem 2. To invoke collection from the collector task.
rem
rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

set configurationlog="%temp%\silconfig.log"

if "%~1"=="configure" goto configure
if "%~1"=="publish" goto publish

:usage

echo silcollector.cmd configure
echo silcollector.cmd publish [configuration file]

goto :eof


:configure

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectionstate /reg:64') do (
set /a loggingstate=%%g
)

if "%loggingstate%"=="0" (
echo "%date% @ %time% --> Not configuring Software Inventory Logging as it is not enabled." > %configurationlog%
goto :eof
)

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectiontime /reg:64') do (
set loggingtime=%%g
)

for /f "tokens=1-8 delims=-T:+" %%g in ("%loggingtime%") do (
set year=%%g
set month=%%h
set day=%%i
set hour=%%j
set minute=%%k
set second=%%l
set /a tzoffset=0
set /a tzoffset=%%m*60 + %%n
)

echo "%date% @ %time% --> Enabling Software Inventory Logging to publish data at %year%/%month%/%day% %hour%:%minute%:%second%+%tzoffset%" > %configurationlog%
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msftsil_managementtasks call setloggingstate %loggingstate% >NUL 2>&1
if %ERRORLEVEL% neq 0 (
echo "%date% @ %time% --> Failed to enable Software Inventory Logging with error code %ERRORLEVEL%." >> %configurationlog%
)

goto :eof


:publish

set config=%~2
if "%config%"=="" set config=silstream.mof
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msft_mistreamtasks call push true,%config% >NUL 2>&1

goto :eof
 

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#13
Тогда пусть висит, что с проблемами?
 

Sandor

Ассоциация VN/VIP
Сообщения
4,318
Симпатии
1,580
Баллы
433
#15
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить. Но до того:

2. Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу