Перейти к содержимому


Фото
* * - - - 1 Голосов

Майнер

Tool.BtcMine.389

  • Please log in to reply
125 ответов в этой теме

#41 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 05 Июль 2017 - 15:22

соберите плиз так же отчет этой версией

http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

собрал -- https://yadi.sk/d/buYB546p3KmqsS



#42 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 069 Сообщений:

Отправлено 05 Июль 2017 - 15:43

благодарю
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#43 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 06 Июль 2017 - 07:48

Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.

 

Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...



#44 Jaffarrr

Jaffarrr

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 06 Июль 2017 - 09:32

Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.

 

Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...

Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)



#45 VVS

VVS

    The Master

  • Moderators
  • 17 439 Сообщений:

Отправлено 06 Июль 2017 - 10:43

 

Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.

 

Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...

Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)

 

IMHO "левые" лучше смотреть в autoruns по подписи и диагнозу virustotal.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#46 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 06 Июль 2017 - 10:49

 

Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.

 

Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...

Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)

 

Подозрительный файлик в вирлаб или хотя бы вирустотал послали? 



#47 Jaffarrr

Jaffarrr

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 06 Июль 2017 - 13:30

VVS, спасибо за совет.

 

Ivan Korolev, да, мой коллега отправил зараженные файлы в ВирЛаб dr.web.

 

 

Сегодня будем продолжать борьбу, по результатам отпишусь.



#48 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 06 Июль 2017 - 14:09

VVS, спасибо за совет.

 

Ivan Korolev, да, мой коллега отправил зараженные файлы в ВирЛаб dr.web.

 

 

Сегодня будем продолжать борьбу, по результатам отпишусь.

 

Номер тикета  (drweb#1234567) напишите, пожалуйста.



#49 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 069 Сообщений:

Отправлено 06 Июль 2017 - 16:29

#7722070
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#50 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 343 Сообщений:

Отправлено 06 Июль 2017 - 17:44

 

Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.

 

Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...

Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)

 

 

 

В том то и дело, у автора тоже была подобная служба, добавили в базу, но заражение повторяется...а вот как трой опять попадает в систему ((( 

Прикрепленные файлы:

  • Прикрепленный файл  mauner.jpg   10,56К   0 Скачано раз


#51 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 07 Июль 2017 - 11:26

Jaffarrr, это уже известные файлы, они детектируются нашими продуктами (Tool.BtcMine, Trojan.BtcMine).

 

В том то и дело, у автора тоже была подобная служба, добавили в базу, но заражение повторяется...а вот как трой опять попадает в систему (((

 

Загадка...



#52 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 10 Июль 2017 - 10:31

Всем доброого времени суток.

Ну что народ, идеи кончились, как эта пакость попадает на ПК?? Может кто на опыте подскажет куда копать?



#53 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 10:45

добавьте образ автозапуска утилитой uVS

скачать можно отсюда.

http://chklst.ru/data/uVS%20latest/uvs_latest.zip

 

возможно майнер восстанавливается через механизм WMI

 

архив распакуйте в отдельную папку,

запустите  start.exe с правами администратора,

выбрать "текущий пользователь",

далее,

файл - создать полный образ автозапуска (или можно выбрать без проверки ЭЦП)

 

файл образа будет с именем ваш компьютер_дата_время.7z

этот файл добавьте в ваше сообщение.

посмотрим. что там есть.



#54 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 10 Июль 2017 - 11:21

добавьте образ автозапуска утилитой uVS

скачать можно отсюда.

http://chklst.ru/data/uVS%20latest/uvs_latest.zip

 

возможно майнер восстанавливается через механизм WMI

 

архив распакуйте в отдельную папку,

запустите  start.exe с правами администратора,

выбрать "текущий пользователь",

далее,

файл - создать полный образ автозапуска (или можно выбрать без проверки ЭЦП)

 

файл образа будет с именем ваш компьютер_дата_время.7z

этот файл добавьте в ваше сообщение.

посмотрим. что там есть.

Прикрепленные файлы:



#55 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 11:27

в WMI чисто, но

вот это майнер

C:\CONSLOCALUSERDATA\SVCHOST.EXE

 

C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x

 

на вирустотал пока нет хэша проверки, неизвестно кто его детектирует

Хэш НЕ найден на сервере.

 

можете добавить на http://virustotal.comэтот файл,

и вернуть нам линк проверки.


Сообщение было изменено santy: 10 Июль 2017 - 11:28


#56 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 927 Сообщений:

Отправлено 10 Июль 2017 - 11:28

>C:\CONSLOCALUSERDATA\SVCHOST.EXE

 

Это то понятно, он спокойно убивается и cureit-ом и штатным ESET-ом.



#57 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 11:31

подробнее:

 

Полное имя                  C:\CONSLOCALUSERDATA\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
Удовлетворяет критериям     
TROJAN.BITCOIN-MINER        (  CMDLINE ~ -O STRATUM)(1) [auto (0)]
TROJAN.BITMINER.3           (ZLIB1.DLL ~ \)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     64-х битный
File_Id                     53809BB1118000
Linker                      2.23
Размер                      470556 байт
Создан                      10.07.2017 в 15:59:02
Изменен                     10.07.2017 в 15:59:02
                            
TimeStamp                   24.05.2014 в 13:16:33
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                            
Доп. информация             на момент обновления списка
pid = 4592                  NT AUTHORITY\система
CmdLine                     C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x
Процесс создан              15:59:02 [2017.07.10]
С момента создания          00:20:24
parentid = 988              C:\WINDOWS\SYSTEM32\SVCHOST.EXE
ESTABLISHED                 10.1.1.102:54090 <-> 178.32.196.217:8080
SHA1                        FEB01B69A8B2EA5CD361133FC44A57B99997CBC3
MD5                         1F55C07950010A2E198080618835A482
                            
Образы                      EXE и DLL
SVCHOST.EXE                 C:\CONSLOCALUSERDATA
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
LIBCURL.DLL                 C:\CONSLOCALUSERDATA
LIBEAY32.DLL                C:\CONSLOCALUSERDATA
LIBWINPTHREAD-1.DLL         C:\CONSLOCALUSERDATA
SSLEAY32.DLL                C:\CONSLOCALUSERDATA
ZLIB1.DLL                   C:\CONSLOCALUSERDATA
                            

 



#58 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 11:35

возможно запускается через системный svchost:

 

Обнаружен измененный ImagePath для сервиса: WebClient

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -K WEBCLIENTGROUP

%SystemRoot%\system32\svchost.exe -k LocalService



#59 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 11:39

вот этот бы еще файлик проверить на VT:

C:\WINDOWS\SYSTEM32\SACSVR.DLL

 

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     595238C53DC000
Linker                      10.0
Размер                      4030976 байт
Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53
                            
TimeStamp                   27.06.2017 в 10:51:49
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5                         6F620C4A97587A0AFBC601018C98D434
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll
                            

 


Сообщение было изменено santy: 10 Июль 2017 - 11:41


#60 santy

santy

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июль 2017 - 12:10

здесь подозрительно, что таймштамп свежий

TimeStamp                   27.06.2017 в 10:51:49

а даты создания и изменения файла старые

Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53

+

возможно, нарушена цифровая, хотя видимо образ создан был без проверки цифровой.


Сообщение было изменено santy: 10 Июль 2017 - 12:11




Also tagged with one or more of these keywords: Tool.BtcMine.389

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых