может ее совсем (временно) отключить эту службу? насколько она необходима в системе?
#81
Отправлено 11 Июль 2017 - 06:17
#82
Отправлено 11 Июль 2017 - 06:22
может ее совсем (временно) отключить эту службу? насколько она необходима в системе?
а она и так остановлена....
попробуйте из под Winpe&uVS в uVS выполнить функцию "восстановить испорченные значения ImagePath"
это можно сделать с помощью твика 20,
меню uVS - дополнительно - твики - твик 20.
этот файл E:\WINDOWS\SYSTEM32\SACSVR.DLL или переименовать в *.vdll или заменить на чистый аналог,
(
этот файл, похоже мутирует. судя по последнему образу у него уже другой размер стал:
9492480 байт
SHA1:CA64F4D1EB0CFFFF84B14D9880196D1D1E5D2E2E
MD5:EAC44A2316F69E15913DF41896765DE7
таймштамп уже другой: 10.07.2017 в 10:30:04
и сведений о нем уже нет на VT
)
--------
затем перегрузить систему в нормальный режим и проверить результат.
Выполнил + заменил на чистый аналог
#83
Отправлено 11 Июль 2017 - 06:25
тогда сделайте новый образ автозапуска в uVS.в нормальном режиме.
посмотрим есть ли положительные изменения.
#84
Отправлено 11 Июль 2017 - 06:39
тогда сделайте новый образ автозапуска в uVS.в нормальном режиме.
посмотрим есть ли положительные изменения.
Прикрепленные файлы:
#85
Отправлено 11 Июль 2017 - 06:46
sacsvr.dll сейчас чистый
Полное имя C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла SACSVR.DLL
Тек. статус ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id 4A5BE02D8000
Linker 9.0
Размер 14848 байт
Создан 14.07.2009 в 08:34:26
Изменен 14.07.2009 в 10:41:53
TimeStamp 14.07.2009 в 01:32:29
EntryPoint +
OS Version 0.1
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Microsoft Windows
Оригинальное имя sacsvr.dll.mui
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание Служба Microsoft EMS SAC
Производитель Microsoft Corporation
Доп. информация на момент обновления списка
SHA1 870AA40BACFA1C7F7E23D28696F07910F46B3AF0
MD5 1F8597C49E2F6FEAE04ED4E3D978465B
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\sacsvr\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\sacsvr.dll
====
майнера нет.
этого сообщения "Обнаружен измененный ImagePath для сервиса: WebClient" (взят из прежнего образа)
так же нет в логах нового образа.
#86
Отправлено 11 Июль 2017 - 07:40
ВиталийВ,
так уже было, что система некоторое время остается чистой после лечения, затем по новой идет заражение майнером?
#87
Отправлено 11 Июль 2017 - 09:15
ВиталийВ,
так уже было, что система некоторое время остается чистой после лечения, затем по новой идет заражение майнером?
К сожалению, да (
#88
Отправлено 11 Июль 2017 - 09:53
да, судя по логу ESET log collector (по предыдущим дням) событие с майнером может произойти один или несколько раз в день.
#89
Отправлено 12 Июль 2017 - 10:37
А этот майнер опять появился...
#90
Отправлено 12 Июль 2017 - 11:05
заплатки на систему все стоят?
Doctor Web, Ltd.
#91
Отправлено 12 Июль 2017 - 11:12
сделайте еще раз образ автозапуска, чтобы можно было сравнить с чистым состоянием.
#92
Отправлено 12 Июль 2017 - 11:24
заплатки на систему все стоят?
из "важных" да
#93
Отправлено 12 Июль 2017 - 11:42
сделайте еще раз образ автозапуска, чтобы можно было сравнить с чистым состоянием.
Сделано из под работающей ОС
Прикрепленные файлы:
#94
Отправлено 12 Июль 2017 - 11:57
CmpImg v1.01 Copyright© 2011-14 D.Kuznetzoff [demkd@mail.ru]
http://dsrt.dyndns.org
Loading OLD image: SERV-1C_2017-07-11_11-28-09.TXT
Loading NEW image: SERV-1C_2017-07-12_16-34-20.TXT
Autorun: New
C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Total:1
Applications: New
DriverPack Solution Updater
Total:1
Autorun: Removed
C:\USERS\СТЕПАНЕНКО\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
Total:1
Modified:
C:\PROGRAM FILES (X86)\TEAMVIEWER\OUTLOOK\TEAMVIEWERMEETINGADDINSHIM.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_RESOURCE_RU.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_STATICRES.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.EXE
C:\WINDOWS\SYSTEM32\RASAUTO.DLL
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Total:11
No SHA1:
Total:1
Changed status:
C:\PROGRAM FILES\ESET\ESET FILE SECURITY\X86\EKRN.EXE
C:\WINDOWS\SYSTEM32\CONHOST.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\VIAKARAOKESRV.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSWOW64\VMNETDHCP.EXE
Total:6
#95
Отправлено 12 Июль 2017 - 12:02
по модифицированным:
Полное имя C:\WINDOWS\SYSTEM32\RASAUTO.DLL
Имя файла RASAUTO.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
www.virustotal.com 2017-07-05
Avast Multi:BitCoinMiner-A [Tool]
DrWeb Tool.BtcMine.389
------------------
Полное имя C:\WINDOWS\SYSTEM32\SACSVR.DLL
Имя файла SACSVR.DLL
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
www.virustotal.com Хэш НЕ найден на сервере.
----------------
+
новый файлик:
Полное имя C:\CONSLOCALUSERDATA\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
www.virustotal.com 2017-06-26
Symantec Trojan.Gen.2
ESET-NOD32 a variant of Win64/BitCoinMiner.U potentially unsafe
Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.ibto
DrWeb Tool.BtcMine.389
Avast Multi:BitCoinMiner-A [Tool]
#96
Отправлено 12 Июль 2017 - 12:50
Может стоит очистить и закрыть систему фаерволлом на какое-то время чтобы обнаружить вектор сетевой атаки?
#97
Отправлено 13 Июль 2017 - 04:50
+
таки стоит убедиться что патч ms17-010 установлен.
wmic qfe list | findstr 4012212
можно так же промониторить другие хосты в локальной сети через nmap (v 7.50)
nmap -p445 --script smb-vuln-ms17-010 <target>
#98
Отправлено 13 Июль 2017 - 06:47
santy, у меня
wmic qfe list | findstr 4012212
ничего (в смысле "4012212") не нашёл. Ставлю обновления на Windows 7 оффлайн отсюда: http://forum.oszone.net/thread-257198-550.html
Полагаю, у меня этот патч таки установлен...
#99
Отправлено 13 Июль 2017 - 07:00
santy, у меня
wmic qfe list | findstr 4012212ничего (в смысле "4012212") не нашёл. Ставлю обновления на Windows 7 оффлайн отсюда: http://forum.oszone.net/thread-257198-550.html
Полагаю, у меня этот патч таки установлен...
у меня такой ответ после выполнения этой команды:
http://support.microsoft.com/?kbid=4012212 *** Security Update KB4012212 *\* 5/17/2017
+
можно еще проверить наличие/или отсутствие данной уязвимости утилиткой:
https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe
#100
Отправлено 13 Июль 2017 - 07:05
santy, Вот ответ утилиты:
ESET CVE-2017-0144 vulnerability checker
Copyright 1992-2017 ESET spol. s r.o.
Checking your system for CVE-2017-0144 vulnerability.
Version of 'C:\Windows\system32\Drivers\srv.sys' is 6.1.7601.23762.
Your computer is safe, Microsoft security update is already installed.
Press any key to close this application ...
Also tagged with one or more of these keywords: Tool.BtcMine.389
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Trojan.BtcMine.1369 + Tool.BtcMine.389Автор: Cooller-m , 21 июл 2017 Tool.BtcMine.389 и еще 2… |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых