ВиталийВ,
так что с этим файликом? вы проверили его на http://virustotal.com?
вот этот бы еще файлик проверить на VT:
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Отправлено 10 Июль 2017 - 13:09
ВиталийВ,
так что с этим файликом? вы проверили его на http://virustotal.com?
вот этот бы еще файлик проверить на VT:
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Отправлено 10 Июль 2017 - 13:10
Отправлено 10 Июль 2017 - 13:18
Отправлено 10 Июль 2017 - 13:18
судя по образу у ТС размер файла sacsvr.dll:
4030976 байт
его нет в списке проверенных файлов uVS.
и хэши здесь другие:
sha1:24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
md5:6F620C4A97587A0AFBC601018C98D434
-----------
хорошо бы проверить его на Вирустотал.
Сообщение было изменено santy: 10 Июль 2017 - 13:20
Отправлено 10 Июль 2017 - 13:20
да. яже увидел. похоже ее заменили майнеромKonstantin Yudin,
судя по образу у ТС размер файла sacsvr.dll:
4030976 байт
его нет в списке проверенных файлов uVS.
и хэши здесь другие:
sha1:24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
md5:6F620C4A97587A0AFBC601018C98D434
-----------
хорошо бы проверить его на Вирустотал.
Отправлено 10 Июль 2017 - 13:29
файлики из C:\CONSLOCALUSERDATA по размеру в сумме составяют 3Мб, а sacsvr.dll по размеру 4Мб.
как гипотеза:
возможно, sacsvr.dll при запуске пересоздает из своего тела эту папку C:\CONSLOCALUSERDATA файлами майнера.
и затем стартует C:\CONSLOCALUSERDATA\SVCHOST.EXE
Сообщение было изменено santy: 10 Июль 2017 - 13:31
Отправлено 10 Июль 2017 - 13:34
>файлики из C:\CONSLOCALUSERDATA по размеру в сумме составяют 3Мб, а sacsvr.dll по размеру 4Мб.
Трой собой затирает несколько системных бибилиотек и устанавливает себя как сервис. При запуске сервиса он распаковывает майнер в" C:\CONSLOCALUSERDATA"
Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?
Отправлено 10 Июль 2017 - 14:55
Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?
может быть, есть руткитная компонента? в таком случае нужен образ автозапуска системы полученный из под winpe
Отправлено 10 Июль 2017 - 15:29
в WMI чисто, но
вот это майнер
C:\CONSLOCALUSERDATA\SVCHOST.EXE
C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x
на вирустотал пока нет хэша проверки, неизвестно кто его детектирует
Хэш НЕ найден на сервере.
можете добавить на http://virustotal.comэтот файл,
и вернуть нам линк проверки.
Сори что так долго, пока добрался, вот линк проверки https://virustotal.com/ru/file/8c290ada020ff1b33b51aabebc73e4f4fed91a86d1a46c26732745fbacd038b8/analysis/1499689624/
правда это с другого сервера т.к. тот в дауне, но симптомы у них у всех одинаковые!!!
Отправлено 10 Июль 2017 - 15:33
вот этот бы еще файлик проверить на VT:
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Полное имя C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла SACSVR.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
www.virustotal.com Хэш НЕ найден на сервере.
Удовлетворяет критериям
SERV_DLL.FALSE (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 595238C53DC000
Linker 10.0
Размер 4030976 байт
Создан 14.07.2009 в 08:34:26
Изменен 14.07.2009 в 10:41:53
TimeStamp 27.06.2017 в 10:51:49
EntryPoint +
OS Version 0.2
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Доп. информация на момент обновления списка
SHA1 24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5 6F620C4A97587A0AFBC601018C98D434
Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\sacsvr.dll
Отправлено 10 Июль 2017 - 15:36
Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?может быть, есть руткитная компонента? в таком случае нужен образ автозапуска системы полученный из под winpe
как это сделать?
Отправлено 10 Июль 2017 - 16:00
Отправлено 10 Июль 2017 - 16:00
по этой ссылке можно скачать iso образ winpe&uVS 4.0
https://mega.nz/#!hJ9WiRwA!gCT7pxk2a4lBo0jPG1tyPLehJG1VPGb3jKMr2K70HMo
записать образ на флэшку, и загрузиться с флэшки, при этом uVS стартанет автоматически, но надо выбрать систему не текущую (текущая- это winpe в данном случае), а выбрать каталог Windows проблемной системы с жесткого диска.
далее, текщий пользователь,
и так же файл - создать полный образ автозапуска (лучше с проверкой по ЭЦП).
и добавить файл образа сюда на форум.
Сообщение было изменено santy: 10 Июль 2017 - 16:04
Отправлено 10 Июль 2017 - 16:24
+
вот еще подозрительный файл.
Полное имя C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Имя файла KPROCESSHACKER.SYS
Тек. статус АКТИВНЫЙ ?ВИРУС? драйвер в автозапуске
www.virustotal.com 2017-07-06
Kaspersky not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ драйвер в автозапуске
File_Id 56F975FAB000
Linker 9.0
Размер 45208 байт
Создан 07.07.2017 в 16:38:53
Изменен 29.03.2016 в 02:28:55
TimeStamp 28.03.2016 в 18:20:42
EntryPoint +
OS Version 0.1
Subsystem No subsystem required (device drivers and native system processes)
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Оригинальное имя kprocesshacker.sys
Версия файла 3.0
Описание KProcessHacker
Производитель wj32
Доп. информация на момент обновления списка
SHA1 A21C84C6BF2E21D69FA06DAAF19B4CC34B589347
MD5 1B5C3C458E31BEDE55145D0644E88D75
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\KProcessHacker3\ImagePath
ImagePath \??\C:\Windows\Temp\kprocesshacker.sys
KProcessHacker3 тип запуска: Отключено (4)
Отправлено 10 Июль 2017 - 16:29
Отправлено 11 Июль 2017 - 04:35
по этой ссылке можно скачать iso образ winpe&uVS 4.0
https://mega.nz/#!hJ9WiRwA!gCT7pxk2a4lBo0jPG1tyPLehJG1VPGb3jKMr2K70HMo
записать образ на флэшку, и загрузиться с флэшки, при этом uVS стартанет автоматически, но надо выбрать систему не текущую (текущая- это winpe в данном случае), а выбрать каталог Windows проблемной системы с жесткого диска.
далее, текщий пользователь,
и так же файл - создать полный образ автозапуска (лучше с проверкой по ЭЦП).
и добавить файл образа сюда на форум.
Готово
Отправлено 11 Июль 2017 - 05:43
Вот что ещё стало появлятся
Отправлено 11 Июль 2017 - 05:50
попробуйте из под Winpe&uVS в uVS выполнить функцию "восстановить испорченные значения ImagePath"
это можно сделать с помощью твика 20,
меню uVS - дополнительно - твики - твик 20.
этот файл E:\WINDOWS\SYSTEM32\SACSVR.DLL или переименовать в *.vdll или заменить на чистый аналог,
(
этот файл, похоже мутирует. судя по последнему образу у него уже другой размер стал:
9492480 байт
SHA1:CA64F4D1EB0CFFFF84B14D9880196D1D1E5D2E2E
MD5:EAC44A2316F69E15913DF41896765DE7
таймштамп уже другой: 10.07.2017 в 10:30:04
и сведений о нем уже нет на VT
)
--------
затем перегрузить систему в нормальный режим и проверить результат.
Сообщение было изменено santy: 11 Июль 2017 - 05:53
Отправлено 11 Июль 2017 - 06:06
Special Administration Console Helper
The Special Administration Console Helper (sacsvr) service provides the ability to perform remote management tasks on a computer that is running Windows Server 2008 R2, if the computer's functions are halted due to a Stop error message. The Windows Emergency Management Services component supports two out-of-band console interfaces: the Special Administration Console (SAC) and !SAC, which offers a subset of SAC commands for use when the server has been halted.
The SAC and !SAC components accept input and send output through the out-of-band port. SAC is a separate entity from !SAC and the command-line environments in Windows Server 2008 R2. After a specific failure point is reached, Emergency Management Services components determine when to shift from SAC to !SAC. !SAC becomes available automatically if SAC fails to load or does not function.
The Special Administration Console Helper service allows you to create inbound communication channels through the Command Prompt window. If the Special Administration Console Helper service stops, SAC services are not available.
This service is installed by default in Windows Server 2008 R2, and its startup type is Manual.
When the Special Administration Console Helper service is started in its default configuration, it logs on by using the Local System account.
Отправлено 11 Июль 2017 - 06:13
Special Administration Console Helper
The Special Administration Console Helper (sacsvr) service provides the ability to perform remote management tasks on a computer that is running Windows Server 2008 R2, if the computer's functions are halted due to a Stop error message. The Windows Emergency Management Services component supports two out-of-band console interfaces: the Special Administration Console (SAC) and !SAC, which offers a subset of SAC commands for use when the server has been halted.
The SAC and !SAC components accept input and send output through the out-of-band port. SAC is a separate entity from !SAC and the command-line environments in Windows Server 2008 R2. After a specific failure point is reached, Emergency Management Services components determine when to shift from SAC to !SAC. !SAC becomes available automatically if SAC fails to load or does not function.
The Special Administration Console Helper service allows you to create inbound communication channels through the Command Prompt window. If the Special Administration Console Helper service stops, SAC services are not available.
This service is installed by default in Windows Server 2008 R2, and its startup type is Manual.
When the Special Administration Console Helper service is started in its default configuration, it logs on by using the Local System account.
Это ещё и обьясняет почему все файлы майнера создаются из под "системы"
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Trojan.BtcMine.1369 + Tool.BtcMine.389Автор: Cooller-m , 21 июл 2017 Tool.BtcMine.389 и еще 2… |
|
|
0 пользователей, 0 гостей, 0 скрытых