125 ответов в этой теме

[santy]

может ее совсем (временно) отключить эту службу? насколько она необходима в системе?

[ВиталийВ]

может ее совсем (временно) отключить эту службу? насколько она необходима в системе?

а она и так остановлена.... 

попробуйте из под Winpe&uVS в uVS выполнить функцию "восстановить испорченные значения ImagePath"

это можно сделать с помощью твика 20,

меню uVS - дополнительно - твики - твик 20.

 

этот файл E:\WINDOWS\SYSTEM32\SACSVR.DLL или переименовать в *.vdll или заменить на чистый аналог,

 

(

этот файл, похоже мутирует. судя по последнему образу у него уже другой размер стал:

9492480 байт

SHA1:CA64F4D1EB0CFFFF84B14D9880196D1D1E5D2E2E

MD5:EAC44A2316F69E15913DF41896765DE7

 

таймштамп уже другой: 10.07.2017 в 10:30:04

 

и сведений о нем уже нет на VT

)

--------

затем перегрузить систему в нормальный режим и проверить результат.

Выполнил + заменил на чистый аналог

[santy]

тогда сделайте новый образ автозапуска в uVS.в нормальном режиме.

посмотрим есть ли положительные изменения.

[ВиталийВ]

тогда сделайте новый образ автозапуска в uVS.в нормальном режиме.

посмотрим есть ли положительные изменения.

Прикрепленные файлы:

•  SERV-1C_2017-07-11_11-28-09.rar   586,4К   3 Скачано раз

[santy]

sacsvr.dll сейчас чистый

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     4A5BE02D8000
Linker                      9.0
Размер                      14848 байт
Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53
                            
TimeStamp                   14.07.2009 в 01:32:29
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            sacsvr.dll.mui
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Служба Microsoft EMS SAC
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        870AA40BACFA1C7F7E23D28696F07910F46B3AF0
MD5                         1F8597C49E2F6FEAE04ED4E3D978465B
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll

 

====

майнера нет.

этого сообщения "Обнаружен измененный ImagePath для сервиса: WebClient" (взят из прежнего образа)                          

так же нет в логах нового образа.
 

[santy]

ВиталийВ,

так уже было, что система некоторое время остается чистой после лечения, затем по новой идет заражение майнером?

[ВиталийВ]

ВиталийВ,

так уже было, что система некоторое время остается чистой после лечения, затем по новой идет заражение майнером?

К сожалению, да (

[santy]

да, судя по логу ESET log collector (по предыдущим дням) событие с майнером может произойти один или несколько раз в день.

[ВиталийВ]

А этот майнер опять появился...

[Konstantin Yudin]

заплатки на систему все стоят?

[santy]

сделайте еще раз образ автозапуска, чтобы можно было сравнить с чистым состоянием.

[ВиталийВ]

заплатки на систему все стоят?

из "важных" да

[ВиталийВ]

сделайте еще раз образ автозапуска, чтобы можно было сравнить с чистым состоянием.

Сделано из под работающей ОС

Прикрепленные файлы:

•  SERV-1C_2017-07-12_16-34-20.rar   592,14К   3 Скачано раз

[santy]

CmpImg v1.01 Copyright© 2011-14 D.Kuznetzoff [demkd@mail.ru]
http://dsrt.dyndns.org

Loading OLD image: SERV-1C_2017-07-11_11-28-09.TXT
Loading NEW image: SERV-1C_2017-07-12_16-34-20.TXT

Autorun: New
C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Total:1

Applications: New
DriverPack Solution Updater
Total:1

Autorun: Removed
C:\USERS\СТЕПАНЕНКО\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
Total:1

Modified:
C:\PROGRAM FILES (X86)\TEAMVIEWER\OUTLOOK\TEAMVIEWERMEETINGADDINSHIM.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_RESOURCE_RU.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_STATICRES.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.EXE
C:\WINDOWS\SYSTEM32\RASAUTO.DLL
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Total:11

No SHA1:

Total:1

Changed status:
C:\PROGRAM FILES\ESET\ESET FILE SECURITY\X86\EKRN.EXE
C:\WINDOWS\SYSTEM32\CONHOST.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\VIAKARAOKESRV.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSWOW64\VMNETDHCP.EXE
Total:6

[santy]

по модифицированным:

 

Полное имя                  C:\WINDOWS\SYSTEM32\RASAUTO.DLL
Имя файла                   RASAUTO.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
www.virustotal.com          2017-07-05
Avast                       Multi:BitCoinMiner-A [Tool]
DrWeb                       Tool.BtcMine.389
------------------

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
----------------

+

новый файлик:

 

Полное имя                  C:\CONSLOCALUSERDATA\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
www.virustotal.com          2017-06-26
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win64/BitCoinMiner.U potentially unsafe
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
DrWeb                       Tool.BtcMine.389
Avast                       Multi:BitCoinMiner-A [Tool]
                            
 

[santy]

Может стоит очистить и закрыть систему фаерволлом на какое-то время чтобы обнаружить вектор сетевой атаки?

[santy]

+

таки стоит убедиться что патч ms17-010 установлен.

 

wmic qfe list | findstr 4012212

 

можно так же промониторить другие хосты в локальной сети через nmap (v 7.50)

 

nmap -p445 --script smb-vuln-ms17-010 <target>

[АВаТар]

santy, у меня

wmic qfe list | findstr 4012212

ничего (в смысле "4012212") не нашёл. Ставлю обновления на Windows 7 оффлайн отсюда: http://forum.oszone.net/thread-257198-550.html

Полагаю, у меня этот патч таки установлен...

[santy]

santy, у меня

wmic qfe list | findstr 4012212

ничего (в смысле "4012212") не нашёл. Ставлю обновления на Windows 7 оффлайн отсюда: http://forum.oszone.net/thread-257198-550.html

Полагаю, у меня этот патч таки установлен...

у меня такой ответ после выполнения этой команды:

 

http://support.microsoft.com/?kbid=4012212    ***     Security Update               KB4012212               *\*                       5/17/2017        

+

можно еще проверить наличие/или отсутствие данной уязвимости утилиткой:

https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe

[АВаТар]

santy, Вот ответ утилиты:

 

ESET CVE-2017-0144 vulnerability checker
Copyright 1992-2017 ESET spol. s r.o.

Checking your system for CVE-2017-0144 vulnerability.
Version of 'C:\Windows\system32\Drivers\srv.sys' is 6.1.7601.23762.

Your computer is safe, Microsoft security update is already installed.

Press any key to close this application ...