Перейти к содержимому


Содержание RomaNNN

1000 публикаций пользователя RomaNNN OpenID:


по типу содержимого

Просмотр информации о пользователе


#872450 Windows Server 2008 падает служба

Отправлено по RomaNNN в Вчера, 10:31 В: Помощь по лечению

Еще много событий Inject-ов, понаблюдайте, после обновления системы и выпиливания вредоносного сервиса еще такие будут?

id: 50121, timestamp: 10:30:00.636, type: PsInject (43), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 8496/17320:\Device\HarddiskVolume2\Windows\System32\svchost.exe
context: start addr: 0x12c7de0, image: 0x12c0000:<unknown>
  hips: type: 18, action: deny [5]
  curdir: C:\Windows\system32\, cmd: C:\Windows\system32\svchost.exe -k netsvcs
  fileinfo: size: 27136, easize: 0, attr: 0x20, buildtime: 14.07.2009 02:31:13.000, ctime: 14.07.2009 02:31:13.886, atime: 14.07.2009 02:31:13.886, mtime: 14.07.2009 04:39:46.503, descr: Host Process for Windows Services, ver: 6.1.7600.16385 (win7_rtm.090713-1255), company: Microsoft Corporation, oname: svchost.exe
  catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ntexe.cat
  hash: 619652b42afe5fb0e3719d7aeda7a5494ab193e8 status: signed_catroot, sfc, system_file_host, pe64 / signed_catroot / unknown / svchost
  inject: ChangeThreadContext [2], flags: 0x18, start addr: 0x0, addr: 0x0, param: 0x0, len: 0, target: bitness: 64, init: 0, image: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188
  fileinfo: size: 57880, easize: 0, attr: 0x20, buildtime: 03.06.2012 01:15:11.000, ctime: 14.11.2013 11:38:45.472, atime: 14.11.2013 11:38:45.472, mtime: 03.06.2012 01:19:42.002, descr: Windows Update, ver: 7.6.7600.256 (winmain_wtr_wsus3sp2(oobla).120602-1505), company: Microsoft Corporation, oname: wuauclt.exe
  signer: C=US|ST=Washington|L=Redmond|O=Microsoft Corporation|OU=MOPR|CN=Microsoft Windows Component Publisher, timestamp: 03.06.2012 01:22:56.000, thumbprint: ad71d7adc520f515254c3845d4460261c6c2be84
  catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\WUClient-SelfUpdate-Core-CoreComp~31bf3856ad364e35~amd64~~7.6.7600.256.cat
  hash: 883d5312d7f6bf03ab56761ff110784e4ba2edec status: signed_catroot, sfc, pe64 / signed_catroot / unknown / unknown
threat: DPH:Trojan.Inject.2.24 ==> send user blocked alert
process: \Device\HarddiskVolume2\Windows\System32\svchost.exe:8496 ==> suspended all threads in process
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\System32\svchost.exe:8496 ==> terminated
process: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188 ==> suspended all threads in process
process: \Device\HarddiskVolume2\Windows\System32\wuauclt.exe:2188 ==> terminated
send user blocked alert
id: 50121 ==> denied [5], time: 0.749600 ms

Больше, вроде, ничего не приглянулось. Что с первоначальной проблемой?




#872445 Windows Server 2008 падает служба

Отправлено по RomaNNN в Вчера, 09:42 В: Помощь по лечению

Смотрю сервер у Вас бывалый, был заражен Win32.Sector.30 в 2017, с тех пор почти до 2019 находились и нейтрализовывались файлы в различных местах. Это, наверное, тот редкий случай, когда нужно поставить сканер  на полное сканирование и лечить. Делали?

 

А вот попытки заразить WannaCry-ем первый раз пресечены 25.12.2018, и с тех пор регулярно:

Preventive Protection event: Drop new executable file on disk

id: 1073, timestamp: 08:29:59.942, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 520/556:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7778fbf0, image: 0x77770000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
  fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 26.12.2018 08:29:59.940, atime: 26.12.2018 08:29:59.940, mtime: 26.12.2018 08:29:59.942, descr: , ver: , company: , oname:
  hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32 / unsigned / unknown / unknown
  drop new executable: \Device\HarddiskVolume2\Windows\mssecsvc.exe
id: 1073 ==> allowed [2], time: 28.137584 ms

Первую версию мы даже в лицо узнали по сигнатурам:

Neutralized object: \device\harddiskvolume2\windows\mssecsvr.exe - quarantined [threat name: {Trojan.Encoder.11432:1}, action: 3, type: 0, ret: 8]

А 3.03.2019 тушку сменили и мы мочили уже по поведению, но все равно до фактического запуска:

Preventive Protection event: Create process

id: 971, timestamp: 08:16:58.423, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 516/548:\Device\HarddiskVolume2\Windows\System32\lsass.exe
context: start addr: 0x7730fbf0, image: 0x772f0000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
  created process: \Device\HarddiskVolume2\Windows\System32\lsass.exe:516 --> \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104
  sid: S-1-5-18, bitness: 32, ilevel: system, sesion id: 0, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
  curdir: C:\Windows\system32\, cmd: C:\WINDOWS\mssecsvc.exe
  fileinfo: size: 3723264, easize: 39, attr: 0x24, buildtime: 20.11.2010 12:03:08.000, ctime: 04.03.2019 08:16:58.181, atime: 04.03.2019 08:16:58.181, mtime: 04.03.2019 08:16:58.183, descr: , ver: , company: , oname: 
  hash: 3b669778698972c402f7c149fc844d0ddb3a00e8 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  hips: type: 18, action: deny [5]
send user blocked alert
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> denied access to file
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> suspended all threads in process
path: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\Windows\mssecsvc.exe:1104 ==> terminated
disinfect: \Device\HarddiskVolume2\Windows\mssecsvc.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\Windows\mssecsvc.exe
threat: DPH:Trojan.ExecExploit ==> sended user virus found alert
id: 971 ==> denied [5], time: 147915.047408 ms

И так до обновления.

 

Сегодня утром нашли и вылечили майнер, а также другую вредоносную dll вместе со службой.

Neutralized object: \Device\HarddiskVolume2\Windows\System32\dllhostex.exe - quarantined, reboot required [threat name: {Tool.BtcMine.1980:9}, action: 3, type: 8, ret: 1000008]

Neutralized object: \Device\HarddiskVolume2\windows\system32\secureprotocolmanager.dll - deleted [threat name: {Trojan.Vools.16:1}, action: 2, type: 4, ret: 8]
delete key: path = \Registry\Machine\System\ControlSet001\Services\SecureProtocolManager, status 0x0
delete key: path = \Registry\Machine\System\ControlSet002\Services\SecureProtocolManager, status 0x0



#872358 Windows Server 2008 падает служба

Отправлено по RomaNNN в 14 Август 2019 - 16:58 В: Помощь по лечению

Denis Nikolayev, по хорошему - все. Сейчас вообще все ломают и юзают, уязвимости в win32k.sys, SMB, RDP. На носу волна малвари юзающей BlueKeep-ы (1, 2, и это не конец). Если у вас сервер торчит в интернет, то затыкать дырки выборочно - такое себе, все равно поломают. А если в локалке, то зараза в сети.

 

Конкретно от EthernalBlue спасет MS17-010. После обнов велкам лечиться, нужен отчет SysInfo, ссылку на который давал Кирилл выше. Если дальше будет бсодить, то дамп. Но фулл обновление тут играет роль.




#872335 Windows Server 2008 падает служба

Отправлено по RomaNNN в 14 Август 2019 - 13:44 В: Помощь по лечению

Denis Nikolayev, а, ну так это WannaCry вас мочит. Ставьте заплатки.

 

Причем уже полгода минимум. Смысл от антивируса если не реагируете вовремя на инцидент?




#872188 Посоветуйте хороший VPN

Отправлено по RomaNNN в 09 Август 2019 - 12:54 В: Свободное общение

Эх, так и знал что многоходовочка рекламщика. Но что-то внутри надеялось на чудо. Вера в человечество не восстановлена <_<




#872137 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 14:43 В: Общие вопросы

Доктор, вы принципиально не хотите продолжать переписку в ТП? Тут Вам не помогут и даже не прокомментируют Вашу ситуацио от слова совсем, а там Вы можете задать все те же вопросы и специалист, у которого есть вся информация по лицензиям, срокам, и т.д., ответит и поможет разобраться. Форум - болталка.




#872128 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 13:41 В: Общие вопросы

Доктор, на форуме вопросы с лиценизией не решаются. Продолжите переписку в одном из открытых Вами заявок в ТП - ссылки у Вас есть.




#872123 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 12:48 В: Общие вопросы

Сначала был отключен от обновления базы, потом лицензия заблокирована и техподдержка не отвечает.

 

Еще раз - Вам сразу ответили на все заявки. Зайдите в личные сообщения, я вам привел подробную информацию по ним.




#872121 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 12:38 В: Общие вопросы

По первой заявке ответ был дан в течение часа после создания.

По последней - в течение часа.

Видимо, письма Вам не пришли.

 

Отписал подробнее в ЛС.




#872118 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 12:21 В: Общие вопросы

Доктор, на почту должно было упасть письмо с номером запроса и ссылкой.




#872116 Перестала обновляться вирусная база.

Отправлено по RomaNNN в 08 Август 2019 - 11:49 В: Общие вопросы

Доктор, можно номер запроса в ЛС?




#872055 Открывается неизвестный сайт

Отправлено по RomaNNN в 06 Август 2019 - 16:21 В: Помощь по лечению

<item config="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Preferences" value="homepage" url="http://livyeko.ru/?utm_content=32b919e274a3ae98419706ca95daa490&amp;utm_source=startpm&amp;utm_term=1345EC50D82575D9BD1ABDA4ACE94074" threat="CHROME:PAGE.MALWARE.URL" arkstatus="known_malware" />
<item config="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Preferences" value="session: startup_urls" url="http://livyeko.ru/?utm_content=32b919e274a3ae98419706ca95daa490&amp;utm_source=startpm&amp;utm_term=1345EC50D82575D9BD1ABDA4ACE94074" threat="CHROME:PAGE.MALWARE.URL" arkstatus="known_malware" />

В настройках браузера Opera уберите эти стартовые страницы, если еще не убрали.

Простите, я не могу в настройках оперы это все найти. я в принципе оперой не пользуюсь. может проще ее снести с компа???

Да, это будет лучше.

 

или у меня вирус какой-то бродит?

Бродит, я выше уже указал. Ждем файла, указанного выше (Krutoy_Sem_HD_Pervaya_Krov_RUS_pk_.exe), на анализ в вирусную лабораторию.




#872036 Открывается неизвестный сайт

Отправлено по RomaNNN в 06 Август 2019 - 12:18 В: Помощь по лечению

<item name="Стикеры для социальных сетей" id="pkhnghdfdplkeiiodmfnfdkipfmpgabe" blacklist="0" ver="2.0.2" threat="CLOUD:Browser:Program.Unwanted.1957" sid="S-1-5-21-1317818309-558861026-3553152666-1001" user="Marina" location_type="file" location_path="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Preferences" path="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Extensions\pkhnghdfdplkeiiodmfnfdkipfmpgabe\2.0.2_0" url="https://clients2.google.com/service/update2/crx"arkstatus="unknown_malware" />

 

Стремное расширение под названием "Стикеры для социальных сетей" в опере, лучше удалить.




#872035 Открывается неизвестный сайт

Отправлено по RomaNNN в 06 Август 2019 - 12:15 В: Помощь по лечению

<item config="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Preferences" value="homepage" url="http://livyeko.ru/?utm_content=32b919e274a3ae98419706ca95daa490&amp;utm_source=startpm&amp;utm_term=1345EC50D82575D9BD1ABDA4ACE94074" threat="CHROME:PAGE.MALWARE.URL" arkstatus="known_malware" />
<item config="C:\Users\Marina\AppData\Roaming\Opera Software\Opera Stable\Preferences" value="session: startup_urls" url="http://livyeko.ru/?utm_content=32b919e274a3ae98419706ca95daa490&amp;utm_source=startpm&amp;utm_term=1345EC50D82575D9BD1ABDA4ACE94074" threat="CHROME:PAGE.MALWARE.URL" arkstatus="known_malware" />

В настройках браузера Opera уберите эти стартовые страницы, если еще не убрали.




#872033 Открывается неизвестный сайт

Отправлено по RomaNNN в 06 Август 2019 - 12:06 В: Помощь по лечению

Из первоначального отчета:

<file path="C:\Users\Marina\AppData\Local\Temp\BioShock_Infinite_Burial_at_Sea_.exe" size="1208369" links="1" ctime="04.01.2019 22:41:07.024" atime="04.01.2019 22:41:07.024" wtime="04.01.2019 22:41:07.024" buildtime="20.06.1992 01:22:17.000">
        <attrib archive="true" value="20" security="O:BAG:S-1-5-21-1317818309-558861026-3553152666-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-1317818309-558861026-3553152666-1001)" />
        <hash sha1="e0e9afaea9c6fae6397772127348534cb8b0e573" sha256="42082f2658d38e68c1e14bb07607c0bb32b734186a67da674702326ced7f8e8b" />
        <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
    </file>

<file path="C:\Users\Marina\AppData\Local\Temp\Quake_.exe" size="1365538" links="1" ctime="03.01.2019 18:23:23.387" atime="03.01.2019 18:23:23.387" wtime="03.01.2019 18:23:23.391" buildtime="20.06.1992 01:22:17.000">
        <attrib archive="true" value="20" security="O:BAG:S-1-5-21-1317818309-558861026-3553152666-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-1317818309-558861026-3553152666-1001)" />
        <hash sha1="3371ee4ab112ecd5fe1def51a8839799df31272a" sha256="eac5e64ee752e54686dd27ac7a2bb462374d029f09c8b5b24e288b3df20b9d80" />
        <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
    </file>

Возможно какая-то малварь/адварь, смотрим.

<file path="C:\Users\Marina\AppData\Local\Temp\Krutoy_Sem_HD_Pervaya_Krov_RUS_pk_.exe" size="1160773" links="1" ctime="26.12.2018 18:54:01.979" atime="26.12.2018 18:54:01.979" wtime="26.12.2018 18:54:01.982" buildtime="20.06.1992 01:22:17.000">
        <attrib archive="true" value="20" security="O:BAG:S-1-5-21-1317818309-558861026-3553152666-513D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-1317818309-558861026-3553152666-1001)" />
        <hash sha1="ef62b98968fc76ee1d7f4152ac9e0f03c5737c0a" sha256="f3457eeddb457ae35bd396c3ce358f3cfa0103dc1e489f9089246b93d131be3a" />
        <arkstatus file="unsigned, pe32" cert="unsigned" cloud="unknown" type="unknown" />
    </file>

Можете этот файл прислать этот файл на анализ? vms.drweb.com, номер тикета сюда.




#871882 Открывается неизвестный сайт

Отправлено по RomaNNN в 01 Август 2019 - 22:01 В: Помощь по лечению

Ledi_Kot, ну и файлообменник, еле тянет и скорость падает на глазах.




#871806 Попытка изменить rundll32.exe

Отправлено по RomaNNN в 31 Июль 2019 - 23:20 В: Свободное общение



В журнале событий статистики Доктора все должно фиксироваться.

 

Выше эвент как раз оттуда.

 

ЛСергей, да, это то что фиксили.




#871770 Попытка изменить rundll32.exe

Отправлено по RomaNNN в 31 Июль 2019 - 17:00 В: Свободное общение

ЛСергей, в системном эвентлоге в разделе Doctor Web должна остаться запись.




#871699 Попытка изменить rundll32.exe

Отправлено по RomaNNN в 30 Июль 2019 - 15:23 В: Свободное общение

База с фиксом вышла в релиз, можно обновляться и проверять.




#871691 формат dwservice.log

Отправлено по RomaNNN в 30 Июль 2019 - 13:58 В: Рабочие станции

Prophet, у антивируса есть штатные почтовые уведомления.




#871683 формат dwservice.log

Отправлено по RomaNNN в 30 Июль 2019 - 12:38 В: Рабочие станции

Prophet, там разные события есть, от разных типов, разных компонентов, соответственно формат почти всегда разный. И да, такие события наоборот предоставляются больше в человекочитаемом виде, чтобы пользователю было понятно что произошло.

 

Какую задачу пытаетесь решить?




#871681 Попытка изменить rundll32.exe

Отправлено по RomaNNN в 30 Июль 2019 - 12:29 В: Свободное общение

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.

Получается, саппорт NVIDIA совершенно не владеет информацией, раз заявляют, что обновлений больше не будет для моей видеокарты под виндоус 7. Ну обновлялись бы, не проблема, но системные файлы менять зачем :(

Никто системные файлы не меняет, rundll32.exe это процесс исполнитель, через него они меняют свои файлы/ключи в системе. Иногда объекты, которые меняются/удаляются, находятся в местах, которые у нас под защитой, поэтому для разрешения события мы смотрим что dll подписана подписью, которую мы знаем. В данном случае они обновили сертификат, а мы еще не успели, вот они и получили по шапке. Но иногда даже это не критично, в общем случае установка проходит успешно.




#871680 формат dwservice.log

Отправлено по RomaNNN в 30 Июль 2019 - 12:17 В: Рабочие станции

Ни у кого нет документа с описанием формата лога самого Др.Веба? В тех документации не нашел, в FAQ тоже нет...

 

 

Формат событий в логе не постоянен и не версионирован т.е. может меняться в каждом апдейте.




#871648 Попытка изменить rundll32.exe

Отправлено по RomaNNN в 29 Июль 2019 - 18:07 В: Свободное общение

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.




#871630 Не работает брандмауэр

Отправлено по RomaNNN в 29 Июль 2019 - 15:17 В: Сервис AV-Desk

Ledi_Kot, Вам же написали, перезагрузитесь для начала.