Перейти к содержимому


Фото
* * - - - 1 Голосов

Майнер

Tool.BtcMine.389

  • Please log in to reply
125 ответов в этой теме

#61 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 13:09

ВиталийВ,

 

так что с этим файликом? вы проверили его на http://virustotal.com?

 

вот этот бы еще файлик проверить на VT:

C:\WINDOWS\SYSTEM32\SACSVR.DLL

 



#62 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 10 Июль 2017 - 13:10

<file path="C:\windows\system32\sacsvr.dll" size="14848" links="2" ctime="14.07.2009 07:34:26.683" atime="14.07.2009 07:34:26.683" wtime="14.07.2009 09:41:53.874" buildtime="14.07.2009 09:32:29.000">
<attrib archive="true" value="20" />
<hash md5="1f8597c49e2f6feae04ed4e3d978465b" sha1="870aa40bacfa1c7f7e23d28696f07910f46b3af0" sha256="88bbb8dbd1369b33f1d662cd7f2214282cd6e2ae8809d88ae63d9d80660549a3" />
<arkstatus file="ts_white_list, signed_catroot, sfc, pe64, dll" cert="signed_catroot" cloud="clean" />
<verinfo company="Microsoft Corporation" descr="Microsoft EMS SAC Service" origname="sacsvr.dll" version="6.1.7600.16385 (win7_rtm.090713-1255)" />
<certinfo catfile="{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Server-Features-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.cat" />
</file>
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#63 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 10 Июль 2017 - 13:18

ха. а похоже в отчете то старая. хеши не сходятся с uvs. либо uvs не то нашел
пропатчил ее майнер похоже
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#64 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 13:18

Konstantin Yudin,

судя по образу у ТС размер файла sacsvr.dll:

4030976 байт

его нет в списке проверенных файлов uVS.

и хэши здесь другие:

sha1:24F4F3C8586877D26A7F04B54A8F05398D8FF3C5

md5:6F620C4A97587A0AFBC601018C98D434

-----------

хорошо бы проверить его на Вирустотал.


Сообщение было изменено santy: 10 Июль 2017 - 13:20


#65 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 10 Июль 2017 - 13:20

ходим кругами похоже

Konstantin Yudin,
судя по образу у ТС размер файла sacsvr.dll:
4030976 байт
его нет в списке проверенных файлов uVS.
и хэши здесь другие:
sha1:24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
md5:6F620C4A97587A0AFBC601018C98D434
-----------
хорошо бы проверить его на Вирустотал.

да. яже увидел. похоже ее заменили майнером
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#66 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 13:29

файлики из C:\CONSLOCALUSERDATA по размеру в сумме составяют 3Мб, а sacsvr.dll по размеру 4Мб.

как гипотеза:

возможно, sacsvr.dll при запуске пересоздает из своего тела эту папку C:\CONSLOCALUSERDATA файлами майнера.

и затем стартует C:\CONSLOCALUSERDATA\SVCHOST.EXE


Сообщение было изменено santy: 10 Июль 2017 - 13:31


#67 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 10 Июль 2017 - 13:34

>файлики из C:\CONSLOCALUSERDATA по размеру в сумме составяют 3Мб, а sacsvr.dll по размеру 4Мб.

 

Трой собой затирает несколько системных бибилиотек и устанавливает себя как сервис. При запуске сервиса он распаковывает майнер в" C:\CONSLOCALUSERDATA"

 

Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?



#68 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 14:55

Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?

может быть, есть руткитная компонента? в таком случае нужен образ автозапуска системы полученный из под winpe



#69 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 10 Июль 2017 - 15:29

в WMI чисто, но

вот это майнер

C:\CONSLOCALUSERDATA\SVCHOST.EXE

 

C:\conslocaluserdata\svchost.exe -t 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbS15Y5w6TATZ1WR7Tke.ABSOLUT-SERV1C:x

 

на вирустотал пока нет хэша проверки, неизвестно кто его детектирует

Хэш НЕ найден на сервере.

 

можете добавить на http://virustotal.comэтот файл,

и вернуть нам линк проверки.

Сори что так долго, пока добрался, вот линк проверки https://virustotal.com/ru/file/8c290ada020ff1b33b51aabebc73e4f4fed91a86d1a46c26732745fbacd038b8/analysis/1499689624/

правда это с другого сервера т.к. тот в дауне, но симптомы у них у всех одинаковые!!!



#70 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 10 Июль 2017 - 15:33

 

вот этот бы еще файлик проверить на VT:

C:\WINDOWS\SYSTEM32\SACSVR.DLL

 

Полное имя                  C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла                   SACSVR.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
                            
www.virustotal.com          Хэш НЕ найден на сервере.
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ВНЕДРЯЕМЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     595238C53DC000
Linker                      10.0
Размер                      4030976 байт
Создан                      14.07.2009 в 08:34:26
Изменен                     14.07.2009 в 10:41:53
                            
TimeStamp                   27.06.2017 в 10:51:49
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        24F4F3C8586877D26A7F04B54A8F05398D8FF3C5
MD5                         6F620C4A97587A0AFBC601018C98D434
                            
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\system32\sacsvr.dll
                            

 

 

https://virustotal.com/ru/file/b2f3435dbb4062e6462590dee25a5a91f83a9b1d2323e9db1db39d28710d9757/analysis/1499689898/



#71 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 10 Июль 2017 - 15:36

 

Вопрос, на который пока не было ответа - откуда берется трой после восстановления системных либ?

может быть, есть руткитная компонента? в таком случае нужен образ автозапуска системы полученный из под winpe

 

как это сделать?



#72 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 10 Июль 2017 - 16:00

2ВиталийВ Есть предложение удаленно (через TeamViewer) зайти и посмотреть в чем проблема. Если да, то пишите в личку.
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#73 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 16:00

по этой ссылке можно скачать iso образ winpe&uVS 4.0

https://mega.nz/#!hJ9WiRwA!gCT7pxk2a4lBo0jPG1tyPLehJG1VPGb3jKMr2K70HMo

 

записать образ на флэшку, и загрузиться с флэшки, при этом uVS стартанет автоматически, но надо выбрать систему не текущую (текущая- это winpe в данном случае), а выбрать каталог Windows проблемной системы с жесткого диска.

 

далее, текщий пользователь,

и так же файл - создать полный образ автозапуска (лучше с проверкой по ЭЦП).

и добавить файл образа сюда на форум.


Сообщение было изменено santy: 10 Июль 2017 - 16:04


#74 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 10 Июль 2017 - 16:24

+

вот еще подозрительный файл.

 

Полное имя                  C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Имя файла                   KPROCESSHACKER.SYS
Тек. статус                 АКТИВНЫЙ ?ВИРУС? драйвер в автозапуске
                            
www.virustotal.com          2017-07-06
Kaspersky                   not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ драйвер в автозапуске
File_Id                     56F975FAB000
Linker                      9.0
Размер                      45208 байт
Создан                      07.07.2017 в 16:38:53
Изменен                     29.03.2016 в 02:28:55
                            
TimeStamp                   28.03.2016 в 18:20:42
EntryPoint                  +
OS Version                  0.1
Subsystem                   No subsystem required (device drivers and native system processes)
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Оригинальное имя            kprocesshacker.sys
Версия файла                3.0
Описание                    KProcessHacker
Производитель               wj32
                            
Доп. информация             на момент обновления списка
SHA1                        A21C84C6BF2E21D69FA06DAAF19B4CC34B589347
MD5                         1B5C3C458E31BEDE55145D0644E88D75
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\KProcessHacker3\ImagePath
ImagePath                   \??\C:\Windows\Temp\kprocesshacker.sys
KProcessHacker3             тип запуска: Отключено (4)
                            
 



#75 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 10 Июль 2017 - 16:29

обычный процесс менеджер
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#76 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 11 Июль 2017 - 04:35

по этой ссылке можно скачать iso образ winpe&uVS 4.0

https://mega.nz/#!hJ9WiRwA!gCT7pxk2a4lBo0jPG1tyPLehJG1VPGb3jKMr2K70HMo

 

записать образ на флэшку, и загрузиться с флэшки, при этом uVS стартанет автоматически, но надо выбрать систему не текущую (текущая- это winpe в данном случае), а выбрать каталог Windows проблемной системы с жесткого диска.

 

далее, текщий пользователь,

и так же файл - создать полный образ автозапуска (лучше с проверкой по ЭЦП).

и добавить файл образа сюда на форум.

Готово

Прикрепленные файлы:



#77 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 11 Июль 2017 - 05:43

Вот что ещё стало появлятся

Прикрепленные файлы:

  • Прикрепленный файл  VPN.jpg   47,79К   0 Скачано раз


#78 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 11 Июль 2017 - 05:50

попробуйте из под Winpe&uVS в uVS выполнить функцию "восстановить испорченные значения ImagePath"

это можно сделать с помощью твика 20,

меню uVS - дополнительно - твики - твик 20.

 

этот файл E:\WINDOWS\SYSTEM32\SACSVR.DLL или переименовать в *.vdll или заменить на чистый аналог,

 

(

этот файл, похоже мутирует. судя по последнему образу у него уже другой размер стал:

9492480 байт

SHA1:CA64F4D1EB0CFFFF84B14D9880196D1D1E5D2E2E

MD5:EAC44A2316F69E15913DF41896765DE7

 

таймштамп уже другой: 10.07.2017 в 10:30:04

 

и сведений о нем уже нет на VT

)

--------

затем перегрузить систему в нормальный режим и проверить результат.


Сообщение было изменено santy: 11 Июль 2017 - 05:53


#79 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 11 Июль 2017 - 06:06

Special Administration Console Helper

The Special Administration Console Helper (sacsvr) service provides the ability to perform remote management tasks on a computer that is running Windows Server 2008 R2, if the computer's functions are halted due to a Stop error message. The Windows Emergency Management Services component supports two out-of-band console interfaces: the Special Administration Console (SAC) and !SAC, which offers a subset of SAC commands for use when the server has been halted.

The SAC and !SAC components accept input and send output through the out-of-band port. SAC is a separate entity from !SAC and the command-line environments in Windows Server 2008 R2. After a specific failure point is reached, Emergency Management Services components determine when to shift from SAC to !SAC. !SAC becomes available automatically if SAC fails to load or does not function.

The Special Administration Console Helper service allows you to create inbound communication channels through the Command Prompt window. If the Special Administration Console Helper service stops, SAC services are not available.

This service is installed by default in Windows Server 2008 R2, and its startup type is Manual.

When the Special Administration Console Helper service is started in its default configuration, it logs on by using the Local System account.

 



#80 ВиталийВ

ВиталийВ

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 11 Июль 2017 - 06:13

 

Special Administration Console Helper

The Special Administration Console Helper (sacsvr) service provides the ability to perform remote management tasks on a computer that is running Windows Server 2008 R2, if the computer's functions are halted due to a Stop error message. The Windows Emergency Management Services component supports two out-of-band console interfaces: the Special Administration Console (SAC) and !SAC, which offers a subset of SAC commands for use when the server has been halted.

The SAC and !SAC components accept input and send output through the out-of-band port. SAC is a separate entity from !SAC and the command-line environments in Windows Server 2008 R2. After a specific failure point is reached, Emergency Management Services components determine when to shift from SAC to !SAC. !SAC becomes available automatically if SAC fails to load or does not function.

The Special Administration Console Helper service allows you to create inbound communication channels through the Command Prompt window. If the Special Administration Console Helper service stops, SAC services are not available.

This service is installed by default in Windows Server 2008 R2, and its startup type is Manual.

When the Special Administration Console Helper service is started in its default configuration, it logs on by using the Local System account.

 

 

Это ещё и обьясняет почему все файлы майнера создаются из под "системы"





Also tagged with one or more of these keywords: Tool.BtcMine.389

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых