Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Появляется троян netsvc.exe и майнер winlogonr.exe

Ответить
Настройки темы
Появляется троян netsvc.exe и майнер winlogonr.exe

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Добрый день.

Win 2008 r2 сервер. Обновления установлены. Однажды. заметив большую загрузку CPU, просканировали ESET online.

Результат:
C:\Windows\debug\netsvc.exe Win32/TrojanDownloader.Agent.EZL троянская программа очищено удалением
C:\Windows\debug\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением
C:\Windows\Temp\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением

Но с некоторой периодичностью эти троян и майнер появляются снова в C:\Windows\debug\
Наблюдение с помощью Process Monitor от Sysinternals выявило, что файлы создаются системным процессом.

Запускали AVZ5 - он вообще не находит ничего подозрительного.

Как победить зловреда? Какой уязвимостью пользуется троян для проникновения в систему?

Отправлено: 00:30, 15-08-2021

 

Аватара для akok

Ветеран


Консультант


Сообщения: 763
Благодарности: 201

Профиль | Сайт | Отправить PM | Цитировать


http://forum.oszone.net/thread-98169.html

-------


Отправлено: 00:56, 15-08-2021 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2021.08.15-15.29.zip
(57.9 Kb, 1 просмотров)

Файл отчета CollectionLog-2021.08.15-15.29.zip во вложении.

Отправлено: 15:34, 15-08-2021 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:26, 16-08-2021 | #4


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt Addition.txt
(37.9 Kb, 1 просмотров)
Тип файла: txt FRST.txt
(24.5 Kb, 1 просмотров)

Файлы готовы.

Отправлено: 14:25, 16-08-2021 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
    WMI:CIMV2\__TimerInstruction->__AStagingTimer::
    WMI:CIMV2\__TimerInstruction->__IStagingTimer::
    WMI:CIMV2\__AbsoluteTimerInstruction->__AStagingTimer::
    WMI:CIMV2\__IntervalTimerInstruction->__IStagingTimer::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StagingFilter\"::
    WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StartupFilter\"::
    WMI:subscription\__EventFilter->__StartupFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 200 AND TargetInstance.SystemUpTime < 320]
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\__EventFilter->__StagingFilter::[Query => SELECT * FROM __TimerEvent WHERE TimerID = '__IStagingTimer' OR TimerID = '__AStagingTimer']
    WMI:subscription\ActiveScriptEventConsumer->__StagingConsumer::[ScriptText => function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r=""; (запись имеет ещё 907 символов).]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Четыре администратора - не многовато ли?

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:48, 16-08-2021 | #6


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt Fixlog.txt
(3.1 Kb, 1 просмотров)
Тип файла: txt Fixlog2.txt
(3.0 Kb, 1 просмотров)

Выполнил, но возможно, не совсем правильно:
Нажал "Исправить" ДО сохранения файла fixlist.txt (поторопился), а код просто был в буфере обмена.

Созданный файл - Fixlog.txt

Компьютер не перезагружал. Затем сохранил fixlist.txt и нажал "Исправить" ещё раз.

Созданный файл назвал - Fixlog2.txt

Насчет администраторов -
admin - встроенный,
ora - для запуска экземпляров oracle database,
admin1cv8 - для автоматич. запуска обработок 1С
raid - для удобного доступа к ПО MegaRaid.

Эти учетки локальные, для бесперебойной работы служб в случае отсутствия доступа к контроллерам домена.

Последний раз редактировалось icatson, 16-08-2021 в 16:08.


Отправлено: 15:55, 16-08-2021 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Файл fixlist не обязательно было создавать.
Понаблюдайте и сообщите что с проблемой.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код: Выделить весь код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:59, 16-08-2021 | #8


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Была найдена только одна уязвимость - UAC (контроль учётных записей) отключён.
Перезагружали сервер, зловредные файлы пока не появлялись, будем наблюдать.

Поделитесь пожалуйста, информацией, где находился источник заражения?
Ведь антивирусные сканеры кроме двух файлов в C:\Windows\debug\ ничего не находили.... Или это сетевой червь?

Большое спасибо за помощь!


Как можно помочь проекту?

Отправлено: 13:04, 17-08-2021 | #9


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать


Мы очистили следы в WMI. Это один из распространенных методов проникновения вредоносов в систему.
А вот как раз включенный UAC этому бы препятствовал.

Цитата icatson:
Как можно помочь проекту? »
Это не обязательно, но раз уж спросили:

Желающим поддержать проект.

Книга отзывов.

-------


Отправлено: 13:08, 17-08-2021 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Появляется троян netsvc.exe и майнер winlogonr.exe

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Процесс майнер MicrosoftHost.exe afattakhov1@vk Лечение систем от вредоносных программ 11 11-09-2020 20:50
CMD/BAT - При запуске 1.exe процесс 2.exe останавливается, при закрытии 1.exe запускается 2.exe Svnkill Скриптовые языки администрирования Windows 5 25-07-2020 17:00
[решено] в чём разница между 7z.exe, 7zr.exe, 7za.exe? AlterEgoFS Хочу все знать 2 28-01-2012 14:39
[решено] Интересует куда делись Regedit.exe | NTSD.exe | NETSETUP.exe | TELNET.exe Ricardo Проект WinStyle 11 30-07-2009 23:36
где найти файлы ntkrnlmp.exe ntkrnlpa.exe ntkrpamp.exe ntoskrnl.exe krazy Автоматическая установка Windows 2000/XP/2003 4 20-11-2008 15:20




 
Переход