соберите плиз так же отчет этой версией
http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
собрал -- https://yadi.sk/d/buYB546p3KmqsS
Отправлено 05 Июль 2017 - 15:22
соберите плиз так же отчет этой версией
http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
собрал -- https://yadi.sk/d/buYB546p3KmqsS
Отправлено 05 Июль 2017 - 15:43
Отправлено 06 Июль 2017 - 07:48
Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.
Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...
Отправлено 06 Июль 2017 - 09:32
Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.
Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...
Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)
Отправлено 06 Июль 2017 - 10:43
Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.
Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...
Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)
IMHO "левые" лучше смотреть в autoruns по подписи и диагнозу virustotal.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 06 Июль 2017 - 10:49
Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.
Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...
Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)
Подозрительный файлик в вирлаб или хотя бы вирустотал послали?
Отправлено 06 Июль 2017 - 13:30
VVS, спасибо за совет.
Ivan Korolev, да, мой коллега отправил зараженные файлы в ВирЛаб dr.web.
Сегодня будем продолжать борьбу, по результатам отпишусь.
Отправлено 06 Июль 2017 - 14:09
VVS, спасибо за совет.
Ivan Korolev, да, мой коллега отправил зараженные файлы в ВирЛаб dr.web.
Сегодня будем продолжать борьбу, по результатам отпишусь.
Номер тикета (drweb#1234567) напишите, пожалуйста.
Отправлено 06 Июль 2017 - 16:29
Отправлено 06 Июль 2017 - 17:44
Решил попробовать восстановить системные библиотеки Microsoft Diagnostics and Recovery Toolset без предварительного лечения cureit, перезагрузился, запустил, он написал что все системные файлы ок и не требуют исправления.
Перезагружаю сервер, запускаю cureit, а он больше ничего не находит !!! Мистика...
Виталий, возможно угроза вернётся. Позавчера утром я избавился от зараженных файлов, перезагрузился, но к вечеру вредный процесс опять возобновился. Кстати, нашел левую Службу при помощи Autoruns от Руссиновича, на каждом сервере она называлась по-разному (RemoteAccess, SharedAccess), вычислил её по дате и по пути исполняемого файла (начинался с %Systemroot...)
В том то и дело, у автора тоже была подобная служба, добавили в базу, но заражение повторяется...а вот как трой опять попадает в систему (((
Отправлено 07 Июль 2017 - 11:26
Jaffarrr, это уже известные файлы, они детектируются нашими продуктами (Tool.BtcMine, Trojan.BtcMine).
В том то и дело, у автора тоже была подобная служба, добавили в базу, но заражение повторяется...а вот как трой опять попадает в систему (((
Загадка...
Отправлено 10 Июль 2017 - 10:31
Всем доброого времени суток.
Ну что народ, идеи кончились, как эта пакость попадает на ПК?? Может кто на опыте подскажет куда копать?
Отправлено 10 Июль 2017 - 10:45
добавьте образ автозапуска утилитой uVS
скачать можно отсюда.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
возможно майнер восстанавливается через механизм WMI
архив распакуйте в отдельную папку,
запустите start.exe с правами администратора,
выбрать "текущий пользователь",
далее,
файл - создать полный образ автозапуска (или можно выбрать без проверки ЭЦП)
файл образа будет с именем ваш компьютер_дата_время.7z
этот файл добавьте в ваше сообщение.
посмотрим. что там есть.
Отправлено 10 Июль 2017 - 11:21
добавьте образ автозапуска утилитой uVS
скачать можно отсюда.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
возможно майнер восстанавливается через механизм WMI
архив распакуйте в отдельную папку,
запустите start.exe с правами администратора,
выбрать "текущий пользователь",
далее,
файл - создать полный образ автозапуска (или можно выбрать без проверки ЭЦП)
файл образа будет с именем ваш компьютер_дата_время.7z
этот файл добавьте в ваше сообщение.
посмотрим. что там есть.
Отправлено 10 Июль 2017 - 11:27
в WMI чисто, но
вот это майнер
C:\CONSLOCALUSERDATA\SVCHOST.EXE
C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x
на вирустотал пока нет хэша проверки, неизвестно кто его детектирует
Хэш НЕ найден на сервере.
можете добавить на http://virustotal.comэтот файл,
и вернуть нам линк проверки.
Сообщение было изменено santy: 10 Июль 2017 - 11:28
Отправлено 10 Июль 2017 - 11:28
>C:\CONSLOCALUSERDATA\SVCHOST.EXE
Это то понятно, он спокойно убивается и cureit-ом и штатным ESET-ом.
Отправлено 10 Июль 2017 - 11:31
подробнее:
Полное имя C:\CONSLOCALUSERDATA\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
www.virustotal.com Хэш НЕ найден на сервере.
Удовлетворяет критериям
TROJAN.BITCOIN-MINER ( CMDLINE ~ -O STRATUM)(1) [auto (0)]
TROJAN.BITMINER.3 (ZLIB1.DLL ~ \)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс 64-х битный
File_Id 53809BB1118000
Linker 2.23
Размер 470556 байт
Создан 10.07.2017 в 15:59:02
Изменен 10.07.2017 в 15:59:02
TimeStamp 24.05.2014 в 13:16:33
EntryPoint +
OS Version 0.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]
Доп. информация на момент обновления списка
pid = 4592 NT AUTHORITY\система
CmdLine C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x
Процесс создан 15:59:02 [2017.07.10]
С момента создания 00:20:24
parentid = 988 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
ESTABLISHED 10.1.1.102:54090 <-> 178.32.196.217:8080
SHA1 FEB01B69A8B2EA5CD361133FC44A57B99997CBC3
MD5 1F55C07950010A2E198080618835A482
Образы EXE и DLL
SVCHOST.EXE C:\CONSLOCALUSERDATA
Загруженные DLL НЕИЗВЕСТНЫЕ
LIBCURL.DLL C:\CONSLOCALUSERDATA
LIBEAY32.DLL C:\CONSLOCALUSERDATA
LIBWINPTHREAD-1.DLL C:\CONSLOCALUSERDATA
SSLEAY32.DLL C:\CONSLOCALUSERDATA
ZLIB1.DLL C:\CONSLOCALUSERDATA
Отправлено 10 Июль 2017 - 11:35
возможно запускается через системный svchost:
Обнаружен измененный ImagePath для сервиса: WebClient
C:\WINDOWS\SYSTEM32\SVCHOST.EXE -K WEBCLIENTGROUP
%SystemRoot%\system32\svchost.exe -k LocalService
Отправлено 10 Июль 2017 - 11:39
вот этот бы еще файлик проверить на VT:
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Полное имя C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла SACSVR.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
www.virustotal.com Хэш НЕ найден на сервере.
Удовлетворяет критериям
SERV_DLL.FALSE (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 595238C53DC000
Linker 10.0
Размер 4030976 байт
Создан 14.07.2009 в 08:34:26
Изменен 14.07.2009 в 10:41:53
TimeStamp 27.06.2017 в 10:51:49
EntryPoint +
OS Version 0.2
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Доп. информация на момент обновления списка
SHA1 24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5 6F620C4A97587A0AFBC601018C98D434
Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\sacsvr.dll
Сообщение было изменено santy: 10 Июль 2017 - 11:41
Отправлено 10 Июль 2017 - 12:10
здесь подозрительно, что таймштамп свежий
TimeStamp 27.06.2017 в 10:51:49
а даты создания и изменения файла старые
Создан 14.07.2009 в 08:34:26
Изменен 14.07.2009 в 10:41:53
+
возможно, нарушена цифровая, хотя видимо образ создан был без проверки цифровой.
Сообщение было изменено santy: 10 Июль 2017 - 12:11
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Trojan.BtcMine.1369 + Tool.BtcMine.389Автор: Cooller-m , 21 июл 2017 Tool.BtcMine.389 и еще 2… |
|
|
0 пользователей, 0 гостей, 0 скрытых