|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Появляется троян netsvc.exe и майнер winlogonr.exe |
|
Появляется троян netsvc.exe и майнер winlogonr.exe
|
Новый участник Сообщения: 5 |
Профиль | Отправить PM | Цитировать Добрый день.
Win 2008 r2 сервер. Обновления установлены. Однажды. заметив большую загрузку CPU, просканировали ESET online. Результат: C:\Windows\debug\netsvc.exe Win32/TrojanDownloader.Agent.EZL троянская программа очищено удалением C:\Windows\debug\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением C:\Windows\Temp\winlogonr.exe Win64/CoinMiner.ZK троянская программа очищено удалением Но с некоторой периодичностью эти троян и майнер появляются снова в C:\Windows\debug\ Наблюдение с помощью Process Monitor от Sysinternals выявило, что файлы создаются системным процессом. Запускали AVZ5 - он вообще не находит ничего подозрительного. Как победить зловреда? Какой уязвимостью пользуется троян для проникновения в систему? |
|
Отправлено: 00:30, 15-08-2021 |
Ветеран Сообщения: 763
|
Профиль | Сайт | Отправить PM | Цитировать |
Отправлено: 00:56, 15-08-2021 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Файл отчета CollectionLog-2021.08.15-15.29.zip во вложении.
|
Отправлено: 15:34, 15-08-2021 | #3 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
------- Отправлено: 08:26, 16-08-2021 | #4 |
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Файлы готовы.
|
|
Отправлено: 14:25, 16-08-2021 | #5 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать
Подробнее читайте в этом руководстве. Четыре администратора - не многовато ли? |
------- Отправлено: 14:48, 16-08-2021 | #6 |
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Выполнил, но возможно, не совсем правильно:
Нажал "Исправить" ДО сохранения файла fixlist.txt (поторопился), а код просто был в буфере обмена. Созданный файл - Fixlog.txt Компьютер не перезагружал. Затем сохранил fixlist.txt и нажал "Исправить" ещё раз. Созданный файл назвал - Fixlog2.txt Насчет администраторов - admin - встроенный, ora - для запуска экземпляров oracle database, admin1cv8 - для автоматич. запуска обработок 1С raid - для удобного доступа к ПО MegaRaid. Эти учетки локальные, для бесперебойной работы служб в случае отсутствия доступа к контроллерам домена. |
Последний раз редактировалось icatson, 16-08-2021 в 16:08. Отправлено: 15:55, 16-08-2021 | #7 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Файл fixlist не обязательно было создавать.
Понаблюдайте и сообщите что с проблемой. Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. |
------- Отправлено: 15:59, 16-08-2021 | #8 |
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Была найдена только одна уязвимость - UAC (контроль учётных записей) отключён.
Перезагружали сервер, зловредные файлы пока не появлялись, будем наблюдать. Поделитесь пожалуйста, информацией, где находился источник заражения? Ведь антивирусные сканеры кроме двух файлов в C:\Windows\debug\ ничего не находили.... Или это сетевой червь? Большое спасибо за помощь! Как можно помочь проекту? |
Отправлено: 13:04, 17-08-2021 | #9 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Мы очистили следы в WMI. Это один из распространенных методов проникновения вредоносов в систему.
А вот как раз включенный UAC этому бы препятствовал. Цитата icatson:
Желающим поддержать проект. Книга отзывов. |
|
------- Отправлено: 13:08, 17-08-2021 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Процесс майнер MicrosoftHost.exe | afattakhov1@vk | Лечение систем от вредоносных программ | 11 | 11-09-2020 20:50 | |
CMD/BAT - При запуске 1.exe процесс 2.exe останавливается, при закрытии 1.exe запускается 2.exe | Svnkill | Скриптовые языки администрирования Windows | 5 | 25-07-2020 17:00 | |
[решено] в чём разница между 7z.exe, 7zr.exe, 7za.exe? | AlterEgoFS | Хочу все знать | 2 | 28-01-2012 14:39 | |
[решено] Интересует куда делись Regedit.exe | NTSD.exe | NETSETUP.exe | TELNET.exe | Ricardo | Проект WinStyle | 11 | 30-07-2009 23:36 | |
где найти файлы ntkrnlmp.exe ntkrnlpa.exe ntkrpamp.exe ntoskrnl.exe | krazy | Автоматическая установка Windows 2000/XP/2003 | 4 | 20-11-2008 15:20 |
|