• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Майнер, так же подозрение на kido

Статус
В этой теме нельзя размещать новые ответы.

Lunik

Активный пользователь
Сообщения
719
Реакции
253
Баллы
123
Добрый день! Прошу перепроверить меня.
Был пойман майнер так же было подозрение кидо
Произвел лечение gmer утилитой были найдены службы и удалены. После чег произвел лечение через АВЗ
Щас АВЗ выдает подозрение на маскировку процесса Сделал лог gmer заного. Так же остались следы .
Логи прилагаю.

Проблемы с майнером не наблюдается в данный момент но есть подозрения.

Карантин если надо могу прислать сохранил.
 

Вложения

  • CollectionLog-2018.05.22-12.14.zip
    139.1 KB · Просмотры: 13
  • 22.05.2018.log
    24 KB · Просмотры: 11
  • Addition.txt
    34.5 KB · Просмотры: 10
  • FRST.txt
    82.9 KB · Просмотры: 11

akok

Команда форума
Администратор
Сообщения
19,688
Реакции
13,509
Баллы
2,203
1.Компьютер перезагрузится после выполнения скрипта
2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Adobe Reader','64');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64');
   BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe

Качайте https://free.drweb.ru/cureit/ и проверяйте систему. Отчет сканирования приложите.
 

Lunik

Активный пользователь
Сообщения
719
Реакции
253
Баллы
123
2. Бекапы сделаны?
3. Как готовились логи, черед rdp или физически подключались к серверу?
Бэкапы 1С сделаны.
Через Тим Вивер




Код:
O22 - Task: Adobe Reader - C:\Program Files\Common Files\Microsoft Shared\HP\autch.exe
O22 - Task: GoogleUpdateTaskMashine - C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe
Отсутствуют
[automerge]1526993688[/automerge]
 

Вложения

  • cureit.log
    2.7 MB · Просмотры: 11
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,688
Реакции
13,509
Баллы
2,203
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,265
Реакции
2,198
Баллы
643
Соберите и прикрепите свежие логи FRST.
 

akok

Команда форума
Администратор
Сообщения
19,688
Реакции
13,509
Баллы
2,203
Знакомо?
%systemroot%\system32\silcollector.cmd

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {443CDF2C-FD63-4E4B-8297-3D78B15D1B81} - \Adobe Reader -> No File <==== ATTENTION
    Task: {4CFD2378-216E-4FCD-993D-A1E441924C48} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Lunik

Активный пользователь
Сообщения
719
Реакции
253
Баллы
123
По данным относится к какой-то инвентаризации.
На этом сервер точно ее нет и она не делается.

@echo off
setlocal enabledelayedexpansion

rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
rem
rem Copyright (C) 2013, Microsoft Corporation.
rem All rights reserved.
rem
rem File Name:
rem silcollector.cmd
rem
rem Abstract:
rem This script supports two modes:
rem 1. To configure SIL from the boot task.
rem 2. To invoke collection from the collector task.
rem
rem '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

set configurationlog="%temp%\silconfig.log"

if "%~1"=="configure" goto configure
if "%~1"=="publish" goto publish

:usage

echo silcollector.cmd configure
echo silcollector.cmd publish [configuration file]

goto :eof


:configure

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectionstate /reg:64') do (
set /a loggingstate=%%g
)

if "%loggingstate%"=="0" (
echo "%date% @ %time% --> Not configuring Software Inventory Logging as it is not enabled." > %configurationlog%
goto :eof
)

for /f "tokens=3 delims= " %%g in ('%systemroot%\system32\reg.exe query hklm\software\microsoft\windows\softwareinventorylogging /v collectiontime /reg:64') do (
set loggingtime=%%g
)

for /f "tokens=1-8 delims=-T:+" %%g in ("%loggingtime%") do (
set year=%%g
set month=%%h
set day=%%i
set hour=%%j
set minute=%%k
set second=%%l
set /a tzoffset=0
set /a tzoffset=%%m*60 + %%n
)

echo "%date% @ %time% --> Enabling Software Inventory Logging to publish data at %year%/%month%/%day% %hour%:%minute%:%second%+%tzoffset%" > %configurationlog%
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msftsil_managementtasks call setloggingstate %loggingstate% >NUL 2>&1
if %ERRORLEVEL% neq 0 (
echo "%date% @ %time% --> Failed to enable Software Inventory Logging with error code %ERRORLEVEL%." >> %configurationlog%
)

goto :eof


:publish

set config=%~2
if "%config%"=="" set config=silstream.mof
%systemroot%\system32\wbem\wmic.exe /namespace:\\root\inventorylogging path msft_mistreamtasks call push true,%config% >NUL 2>&1

goto :eof
 

akok

Команда форума
Администратор
Сообщения
19,688
Реакции
13,509
Баллы
2,203
Тогда пусть висит, что с проблемами?
 

Lunik

Активный пользователь
Сообщения
719
Реакции
253
Баллы
123
Проблем нет.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,265
Реакции
2,198
Баллы
643
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить. Но до того:

2. Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу