Вирус на сервере

[Wolfil14]

Не могу найти

И 3 скриншот - ошибка подключения( к серверу пропал доступ по сети, хотя он онлайн

 

[safety]

на втором рисунке надо установить курсор на одну из записей, затем по правой кнопке мыши выбрать функцию экспортировать все. (и указать что в текстовый файл.)

 

[Wolfil14]

Cделал log

 

[safety]

При сохранении файла укажите другой формат. не xml, а txt

 

[Wolfil14]

Высылаю
Начал глючить и зависать explorer

 

[safety]

---------
а нет, все ок с кодировкой, прошу прощения.

 

[safety]

да, эти "черти" опять полезли в систему

Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш;Первое появление здесь
10.05.2017 9:51:04;Фильтр HTTP;файл;хттп://aaa.super1024.com/b.exe;модифицированный Win32/CoinMiner.AFR троянская программа;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;34719CBA3F4DCD7F97A9DA692078BA797A69B04D;10.05.2017 9:51:02
10.05.2017 9:51:02;Фильтр HTTP;файл;хттп://aaa.super1024.com/b.exe;Blocked Object;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;A7C7CD355BAFA8C0B6AFD8391E94B2AD74B6AA3E;10.05.2017 9:51:02
10.05.2017 8:13:42;Фильтр HTTP;файл;хттп://50.78.143.2:8181/solo/mupd.exe;модифицированный Win32/Farfli.ARM троянская программа;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\spoolsv.exe (3ECAE0D7DE04F08E911FD6041386907C9B9291D8).;2D229A324119D387680D4D2DC54F884DD222A1F4;
08.05.2017 4:01:49;Фильтр HTTP;файл;хттп://103.59.145.29/Winsafe.exe;Blocked Object;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;228C1835FA89F60F0A6972C80EBFEE91F172D5A2;
07.05.2017 20:11:04;Фильтр HTTP;файл;хттп://47.88.216.68:8888/test.dat;модифицированный Win32/Packed.NoobyProtect.L подозрительное приложение;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E;07.05.2017 20:08:57

вопрос только:
по времени эти записи после скрипта уже сделаны или до скрипта?

 

[Wolfil14]

Ну смотрите, я проверку сделал в 8.30 примерно.
Получается 50/50

 

[Wolfil14]

P.S.
в корне диска С снова появился файл странный:
windowstmp02.exe размером 1,3 Мб
Файл создан в 9.45 сегодня, скрипт делал в 8.40.

Я писал сегодня про это уже как раз перед началом всего этого

 

[safety]

добавьте еще раз новые логи FRST
http://www.tehnari.ru/f150/t245622/

+
новый образ автозапуска в uVS

 

[Wolfil14]

Все сделал

 

[Wolfil14]

Cегодня в 11.32 по моему времени)) это через 3 часа после скрипта, установленная программа сделала проверку без моего ведома, кое что нашла, нашел этот отчет случайно, нашла она эти файлы и переместила в карантин.

Отчет:

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 10.05.17
Время проверки: 11:32
Файл журнала:
Администратор: Да

-Информация о ПО-
Версия: 3.0.6.1469
Версия компонентов: 1.0.103
Версия пакета обновления: 1.0.1908
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: System

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 315150
Затраченное время: 0 мин, 53 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Включено
PUM: Включено

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 2
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB403-92E8-453F-8E87-5CBCA6C00595}, Помещено в карантин, [453], [396875],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa, Помещено в карантин, [453], [396876],1.0.1908

Значение реестра: 3
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB403-92E8-453F-8E87-5CBCA6C00595}|PATH, Помещено в карантин, [453], [396875],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START, Помещено в карантин, [453], [396502],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START1, Помещено в карантин, [453], [396503],1.0.1908

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 1
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MYSA, Помещено в карантин, [453], [396877],1.0.1908

Физический сектор: 0
(Вредоносные программы не обнаружены)


(end)


---------------------------------------------



Дополняю:
секунду назад вылезло свежее окошко от eset

 

[safety]

хорошо, я проанализирую логи, возможно найдется причина всех этих атак.

 

[Wolfil14]

Спасибо, буду ждать

 

[safety]

да, файлик что был удален первым скриптом опять восстановлен.

Полное имя C:\WINDOWS\NOTPAD.EXE
Имя файла NOTPAD.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура notpad (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-05-10

www.virustotal.com Хэш НЕ найден на сервере.

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 56EB232DC000
Linker 9.0
Размер 30721 байт
Создан 10.05.2017 в 09:41:27
Изменен 10.05.2017 в 09:41:27

TimeStamp 17.03.2016 в 21:35:41
EntryPoint +
OS Version 0.1
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя lsass.exe
Версия файла 6.1.7601.23392 (win7sp1_ldr.160317-0600)
Описание Local Security Authority Process
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 22A38CA169CCCF59C123CF074D757CB517CB167E
MD5 386751C606B0AD0F2F5CC53F75867C52

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client
Client C:\Windows\notpad.exe
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

проверьте его детект на ВирусТотал
http://virustotal.com

 

[safety]

если можно, отключите временно мбам, чтобы вся информация по угрозам попадала в образ автозапуска, чтобы можно было увидеть содержимое задач, которые сейчас мбам зачистил.
(но скорее всего там была загрузка вредоносного кода из сети, ее установка и регистрация в regsrv32)

антивирусный монитор у вас судя по логам вклюен.
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

 

[safety]

+
еще вопрос:
эту политику безопасности вы сами создали?
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{cb3f028e-8053-49e1-8eb4-e7aff9a7b4fa}

замечаю, что и на других серверах в аналогичных темах фигурирует политика безопасности IPSec

 

[safety]

+
можно выполнить такой скрипт с перезагрузкой системы, и понаблюдать за системой.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\LSASS.EXE
;------------------------autoscript---------------------------

zoo %SystemRoot%\NOTPAD.EXE
addsgn BA6F9BB2BD4DB48DF49C2D754C231B95B51A6C66196A8FE8CD4AB198589EF83007078FDE5A7185087EC807737673017179FAD87255DAF8A7557FE11C2335E283 8 notpad 7

chklst
delvir

apply

deltmp
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

regt 26
restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[Wolfil14]

Проверил, один из антивирусов ругнулся на него:
https://www.virustotal.com/ru/file/...1ecdc8525d7d72aa109046d4/analysis/1494419172/
Добавляю лог uVS c отключенным MBAM

 

[Wolfil14]

По поводу политик - нет все стандартное было. Ничего не создавали.

После выполнения скрипта, Norma CS заработал, общий доступ вернулся, сервер появился в сети.
Что делать дальше? боюсь трогать)))