Вирус на сервере

[Wolfil14]

Вирус на сервере

Добрый день, прошу помощи.
Ситуация такая, небольшая фирма, в локальной сети 10 ПК и 1 компьютер выполняет роль сервера. Везде Windows 7 64 бит.
Обнаружил на нем вирус с помощью программы Eset Endpoint Antivirus - все ПО на всех компьютерах - лицензионное. Данный антивирус установлен на все ПК.

Вирус ведет себя так:
1) Он не дает почти о себе знать толком - дискомфорта не несет видимого.

2) Каждые пару минут появляется сообщение "Обнаружена угроза" в двух вариантах (Прикладываю скриншоты).

3) В корне диска С создаются файлы c расширением EXE и странными названиями - как правило из одних цифр. Но сегодня появился там файл с названием - demo.exe.

4) Думаю что он заблокировал доступ к серверной части программы NormaCS установленной у нас на сервере. Клиентские программы не получают доступа к серверной части, когда пытаются подключиться. Началось это именно в день нахождения вируса.

5) Апогеем стало сегодня - появление в корне диска С файла:
1.txt - c содержанием:

82.208.**.**:3389|ASP.admin|Fuck@nsa445

Это наш внешний белый IP, звездочками скрыл я. А далее какой то порт, а то что дальше вообще не знаю как на это реагировать.

Что я сделал:
1) Проверил все ПК c помощью Eset Endpoint Antivirus, включая сервер.
На двух ПК он нашел что то, на сервере тоже нашел. К сожалению тут я не сделал скриншоты. Но на сервере это был файл с названием cc1.exe лежал в папке ProgramData. Антивирус его удалил.

2) Далее я проверил Сервер с помощью Kaspersky Virus Tool и Dr web cure it. Dr web - ничего не нашел. Отчет того что нашел Kaspersky на скриншоте №3, один файл был локальный, другой в памяти. Он их якобы очистил. Но сообщения об угрозе все равно появлялись, доступ к NormaCS не вернулся, exe файлы в корне появлялись.

3) Затем я скачал Kaspersky live usb, запустил его до запуска системы естественно. Отчет прикладываю на двух скриншотах - он ничего не нашел.

4) После установил Malwarebytes, он нашел один файл, прикладываю отчет в формате TXT

5) Повторно проверял Eset Endpoint Antivirus и Kaspersky Virus Tool - ничего не находили

6) Зашел в разрешения брэндмауэра - там посмотрел что делается через этот порт из файла txt, оказалось - дистанционное управления. Закрыли разрешение на управление, оно было включено. Но что с этим делать дальше не знаю. Скриншот прикладываю (Тонкий и длинный скриншот )

7) Создал отчет uVS по инструкции, прикладываю, очень надеюсь на вашу помощь.

 

[black88]

Попробуйте стингером.

 

[Wolfil14]

Переделал логи, так как почему то когда пытался отправить их в тех поддержку ESET письмо не уходило. Новые логи нормальные))

 

[Wolfil14]

Стингер ничего не нашел, вот отчет:

McAfee® Labs Stinger™ Version 12.1.0.2355 built on May 4 2017 at 02:07:43
Copyright© 2015, McAfee, Inc. All Rights Reserved.

AV Engine version v5900.7806 for Windows.
Virus data file v1000.0 created on May 4, 2017
Ready to scan for 10096 viruses, trojans and variants.

Scan initiated on пятница, Май 05, 2017 12:00:37


Summary Report on Smart Scan
File(s)
TotalFiles:............ 2149
Clean:................. 2147
Not Scanned:........... 2
Possibly Infected:..... 0

Time: 00:00:44

Scan completed on пятница, Май 05, 2017 12:01:21

 

[black88]

Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM.

 

[Wolfil14]

Память проверил все чисто, проверяется жесткий диск - еще раз переделал uVS - тех поддержка сказала что второй файл лога uVS тоже битый странно...

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\NOTPAD.EXE
;------------------------autoscript---------------------------

delall %SystemRoot%\NOTPAD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\ONE.VBS
apply

deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref E:\3027~1.244\SETUP.EXE
delref D:\AUTORUN.EXE
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[safety]

+
добавьте логи из журнала угроз антивируса ESET
(если их не получится получить, сделайте лог ESET_log_collector
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

 

[safety]

+
добавьте образ автозапуска сделанный актуальной версией uVS 4.0.1, в которой возможно будет заметна активность обработчиков WMI
http://chklst.ru/data/uVS latest/uvs_latest.zip

 

[Wolfil14]

Извиняюсь за долгое отсутствие, попробовал сделать скрипт - не вышло. Поэтому остальное делать не стал. Прошу помогите)

 

[safety]

UVS обновите до актуальной версии и еще раз выполните скрипт в uVS,
и далее все остальное.

 

[Wolfil14]

UVS обновите до актуальной версии и еще раз выполните скрипт в uVS,
и далее все остальное.

Версию обновил, скрипт запустился. Все прошло успешно, удалять ничего не предлагал, как я понял подчистил все темпы)
После выполнения скрипта:
1) NormaCS серверная часть запустилась, вот уже пол часа с двух клиентских компов запустил ее для проверки, серверная часть не отваливается, работает хорошо;
2) Сообщения об угрозе от Eset пропали, думаю все хорошо теперь

Большое спасибо!)

Сделал два лога, один через ESETLogCollector и второй в uvs.

 

[Wolfil14]

Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM.

Забыл сказать, до выполнения скрипта, перед выходными поставил на проверку Clam, проверял очень долго, поэтому оставил на выходные, вчера зайдя на сервер,
там было - восстановление работы после bsod. Отчет не читал.

 

[safety]

а можно добавить логи из журнала угроз ESET в текстовом формате? можно их экспортировать в txt формат?

 

[Wolfil14]

Почитал в интернете, сделал настройку, чтобы новые логи сохранялись в TXT, но старые я так понял в моей версии нельзя.
Для упрощения сбора логов написано и придуман ESETLogCollector.
Запустил детальное сканирование Eset-ом, после него думаю появятся логи, если будут скину.
P.S.
в корне диска С снова появился файл странный:
windowstmp02.exe размером 1,3 Мб
Файл создан в 9.45 сегодня, скрипт делал в 8.40.

 

[safety]

да, я видел по файлам dat что некоторые угрозы датированы от 10.05.2017, пока непонятно, каким образом поставляются в систему файлы: или система атакуется периодически извне с применением эксплойтов, или используется вектор атак через обработчики событий в WMI. (по этому поводу как раз было обновление uVS)

поэтому хорошо бы глянуть в хронологическом порядке как идут обнаруженные угрозы
--------
т.е. возможно антивирус реагирует на последствия, но не на причину

 

[safety]

а из самого интерфейса антивируса вы не можете экспортировать записи из журнала угроз? без esetlogcollector. там как раз можно указать экспорт в txt файл

 

[Wolfil14]

Не нашел нигде пункта экспорт, все пролазил

Утром, перед запуском скрипта - вот такая угроза еще вылезла. На радостях, что после скрипта все зарабатало

Только что случилось следующее:
С сервера расшарены папки, к ним пропал доступ, но сервер в сети - пишет что данный ip
уже используется, при попытке подключения. На сервер через DHCP настроен локальный ip 192.168.1.250

 

[safety]

у вас 6 версия ESET Endpoint (6.3.2016.0 ), логи из журналов должны нормально экспортироваться.
надо просто зайти в журналы (смотрите в меню антивируса), выбрать лог журнала угроз, потом ПКМ экспортировать все записи в txt файл.

 

[safety]

вполне возможно, что через уязвимость атакуется система извне
https://threatpost.ru/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/21627/

(если конечно, она видна из внешней сети)