Перейти к содержимому


Фото
* * - - - 1 Голосов

Майнер

Tool.BtcMine.389

  • Please log in to reply
115 ответов в этой теме

#101 pig

pig

    Бредогенератор

  • Helpers
  • 10 256 Сообщений:

Отправлено 13 Июль 2017 - 08:58

4012212 - это Security Only Quality Update. А есть ещё Security Monthly Quality Rollup, который 4012215. Впрочем, это не суть - если они перекрыты последующими роллапами, то не отображаются, поскольку входят в.
Я так думаю, глядя на вывод wmic.

Сообщение было изменено pig: 13 Июль 2017 - 08:59

Почтовый сервер Eserv тоже работает с Dr.Web

#102 TASS

TASS

    Advanced Member

  • Posters
  • 614 Сообщений:

Отправлено 13 Июль 2017 - 11:35

4012212 - это Security Only Quality Update. А есть ещё Security Monthly Quality Rollup, который 4012215

Да, сам MS это подтверждает:

The security fixes that are listed in this Security Only Quality Update (4012212) are also included in March 2017 Security Monthly Quality Rollup 4012215.
Installing either update 4012212 or 4012215 installs the security fixes that are listed here.

This security update resolves the following vulnerabilities in Windows 7 SP1 and Windows Server 2008 R2 SP1:
• MS17-022 Security update for Microsoft XML Core Services
• MS17-021 Security update for DirectShow
• MS17-020 Security update for Windows DVD Maker
• MS17-019 Security update for Active Directory Federation Services
• MS17-018 Security update for Windows Kernel-Mode Drivers
• MS17-017 Security update for Windows Kernel
• MS17-016 Security update for Internet Information Services
• MS17-013 Security update for Microsoft Graphics Component
• MS17-012 Security update for Microsoft Windows
• MS17-011 Security update for Microsoft Uniscribe
• MS17-010 Security update for Windows SMB Server (WannaCry)
• MS17-008 Security update for Windows Hyper-V

 

Варианты проверки наличия патча в системе:

wmic qfe | find /I "4019264"

wmic qfe list | findstr 4012215

 

KB4019264 - ежемесячный майский ролап


Человеку без документов строго воспрещается существовать. ©


#103 santy

santy

    Member

  • Posters
  • 168 Сообщений:

Отправлено 16 Июль 2017 - 04:04

как вариант, блокировать в HIPS изменение тех dll, которые были ранее пропатчены, возможно HIPS обнаружит попытку и источник атаки на системные dll.



#104 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 16 Июль 2017 - 14:06

Коллеги я так и не понял по итогу - кому удалось вылечить?

 

Все патчи стоят, когда CureIt находит и предлагает лечение, сервер просто вылетает (перегружается).

 

У кого нибудь было подобное?


Сообщение было изменено brook73: 16 Июль 2017 - 14:06


#105 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 17 Июль 2017 - 01:39

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.



#106 Jaffarrr

Jaffarrr

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 17 Июль 2017 - 08:08

Коллеги я так и не понял по итогу - кому удалось вылечить?

 

Все патчи стоят, когда CureIt находит и предлагает лечение, сервер просто вылетает (перегружается).

 

У кого нибудь было подобное?

 

Было и не прошло :)

Пока заразу вылечить удалось только на пользовательской машине. На серверах проблема возвращается после устранения.



#107 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 503 Сообщений:

Отправлено 17 Июль 2017 - 08:15

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/



#108 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 17 Июль 2017 - 08:47

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.



#109 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 503 Сообщений:

Отправлено 17 Июль 2017 - 08:54

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).



#110 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 17 Июль 2017 - 09:30

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564



#111 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 503 Сообщений:

Отправлено 17 Июль 2017 - 09:38

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.



#112 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 17 Июль 2017 - 10:27

 

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.

 

Спасибо - а что делать с тем, что CureIt не может удалить этот вирус?

 

Сервер уходит в ребут, якобы системный процесс остановили и тд.



#113 santy

santy

    Member

  • Posters
  • 168 Сообщений:

Отправлено 17 Июль 2017 - 11:18

Спасибо - а что делать с тем, что CureIt не может удалить этот вирус?

 

Сервер уходит в ребут, якобы системный процесс остановили и тд.

 

майнер ведь под local system запущен.

пробуйте вычистить из безопасного режима системы, а затем восстановить патченные системные dll через sfc /scannow

+

рекомендации от Vvvyg:

 

Вас взламывают, видимо, всё же через RDP, (если порт подключения стандартный, смените номер порта на другой). Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем

 


Сообщение было изменено santy: 17 Июль 2017 - 11:23


#114 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 18 Июль 2017 - 01:13

 

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.

 

Антивирус вылетел во время сканирования, в техподдержку написал ошибку.

 

Видимо не смотря на то, что антивирус известен - справится пока совсем не может.



#115 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 503 Сообщений:

Отправлено 18 Июль 2017 - 09:23

Антивирус вылетел во время сканирования, в техподдержку написал ошибку.
 
Видимо не смотря на то, что антивирус известен - справится пока совсем не может.

 

Лечить тут нечего. Трой собой перезаписывает системные либы, не сохраняя оригинал. Все, что может тут антивирус, это удалить трояна, но при этом стабильность работы ОС никто не гарантирует. В любом случае надо восстанавливать оригинальные библиотеки через sfc /scannow

 

По поводу падения - раз сканер упал во время сканирования, а не лечения, то эта угроза тут ни при чем. Этот вопрос мы с вами решим вне форума.



#116 brook73

brook73

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Июль 2017 - 09:26

Да, спасибо - пока нет вируса. Помогло обновление базы, спасибо, что проверили - у нас был немного другой майнер - Trojan.BtcMine.1369

 

Базы обновили, вылечили. Единственное думал сервер не заведется, но кое как удалось sfc /scannow выполнить и наверно с 6-7 перегрузок сервер заработал.





Also tagged with one or more of these keywords: Tool.BtcMine.389

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых