Вирус на сервере

[safety]

эти файлы зачем в системе?

Полное имя C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\MICROSOFT\SYSLOG\TENIODL_CORE.DLL
Имя файла TENIODL_CORE.DLL
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

www.virustotal.com 2017-05-11
Symantec Trojan.Gen.8!cloud
BitDefender Trojan.GenericKD.4742763

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id 58D51645DF1B2
Linker 10.0
Размер 428032 байт
Создан 11.05.2017 в 16:26:31
Изменен 11.05.2017 в 16:26:31
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ

TimeStamp 24.03.2017 в 12:51:17
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя TENIODL_CORE.DLL
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 1DA6516A9563540887384D63DF499DDE3B9D2B63
MD5 36B72ABBDE07B9FC3D3B3C9A1DCEF865

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

и

Полное имя C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\MICROSOFT\SYSLOG\USERLOGON.EXE
Имя файла USERLOGON.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске

Удовлетворяет критериям
SIGN.LIST (ЦИФР. ПОДПИСЬ ~ TENCENT TECHNOLOGY)(1) OR (ЦИФР. ПОДПИСЬ ~ TENCENT TECHNOLOGY)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ сервис в автозапуске
File_Id 534D0C5D7000
Linker 9.0
Размер 25144 байт
Создан 11.05.2017 в 16:26:31
Изменен 11.05.2017 в 16:26:31
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ

TimeStamp 15.04.2014 в 10:39:25
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Tencent Technology(Shenzhen) Company Limited

Оригинальное имя TenioDL.exe
Версия файла 2, 0, 11, 3
Описание Tencent TenioDL for Game
Производитель Tencent

Доп. информация на момент обновления списка
SHA1 FD73875D0A6A20DDA1404053D245F210DD398C8F
MD5 20B8AD7F38BB0C6FB9CBA1F4AAD9BB3D

Ссылки на объект
Ссылка HKLM\uvs_system\ControlSet001\Services\wudfsvcs\ImagePath
ImagePath C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\syslog\userlogon.exe
wudfsvcs тип запуска: Авто (2)
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

 

[Wolfil14]

Сложно сказать, думаю вам виднее тут будет)

 

[Wolfil14]

Жду вашего совета что делать, сегодня после того как второй раз применил ваш скрипт целый день полет нормальный, никто на вирусы не ругался, сервер работал, виден был в сети, normaCS работала.
Сегодня с флешки запустил на проверку Kaspersky virus removal tool, ничего не нашла.
Думаю завтра еще проверку Dr web cure it запущу завтра, почему то отказалась запускаться с флешки.
Пока думаю оставить так не недельку, ну или пока работает, а там посмотрю.
Что думаете?)

 

[safety]

думаю, примерно так.

выполните в uVS из под winpe скрипт из файла.
файл добавлен во вложение.

Посмотреть вложение script001.txt

после выполнения скрипта перегрузите систему в нормальный режим,
и понаблюдайте за ее работой.

дополнительно сканирование в Cureit не помешает.

 

[safety]

http://www.tehnari.ru/attachments/f183/349330d1494421356t-niei123ie.png

эти учетки, скорее всего связаны с атакой. Если вы их не создавали, то лучше удалить эти учетки из системы.

 

[safety]

+
сделайте таки логи в autoruns
https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx

 

[Wolfil14]

Лог Autoruns cделал, надеюсь правильно)
кстати говоря, посмотрел это файл, там выделено красным три ветки реестра относящиеся к Outlook. Outlook на сервере есть, входит в пакет Office 2007, но мне кажется даже ни разу не запускался.

Учетки удалил.

Cейчас займусь скриптом.

 

[safety]

Лог Autoruns cделал, надеюсь правильно)

надо сохранить файл из autoruns в формате *.arn.

 

[Wolfil14]

Исправил, ссылку прилагаю

Скрипт сделал, полет нормальный, но мне кажется сервер подтормаживает

 

[safety]

судя по логу autoruns в системе есть след скрипта, который может быть выполнен обработчиками WMI


+
сделайте новый образ автозапуска в uVS, но только актуальной версией uVS. 4.0.2

+
вот этот скрипт интересует:
его можно извлечь через autoruns
(двойное нажатие мыши для копирования скрипта)

 

[Wolfil14]

Все выполнил, ссылки прилагаю

 

[safety]

да, это и есть вредоносный скрипт, через который все подкачивается.

образ сейчас гляну.

судя по образу у вас еще сканер от дрвеб работает.
в образ однако скрипты не попали.
--------------
+
сделайте еще проверку в FRST
+
эту запись надо удалить через autoruns в секции WMI
fuckyoumm2_consumer Script embedded in WMI database Double click to open copy

 

[Wolfil14]

Все выполнили, вредоносный скрипт удалил

 

[safety]

по логу FRST
проверьте на http://virustotal.com что лежит в корне. добавлен вчера.

2017-05-11 19:54 - 2017-05-11 19:54 - 152082456 _____ C:\n1whqwmy.exe

понятно что это,
утилитка от дрВеб
Действительна, подписано Doctor Web Ltd.
---------------
пока что вроде все проверили. .

видимо потому и притормаживает сервер, что Cureit еще трудится в системе.

 

[Wolfil14]

)))
это dr web cure it, я его вчера скачал вечером) он 150 мб не лезет на virus total

 

[Wolfil14]

Ну тогда все? следим за работой пару дней, выходные правда на носу) так что только в понедельник уже отпишусь?

Огромное спасибо за помощь и старания

P.S. Тормозить стала до проверки, ну посмотрим.
я еще придумал запустить Eset на полную, читал в интернете что его руками надо настраивать, написал по этому поводу в Eset, а они мне выдали:

как настроить данный антивирус на максимальную прозводительность?
В частности как настроить тщательную и автоматическую проверку USB флешек которые вставляют в ПК.
Пусть все это нагрузит ПК, но безопасность важнее на данном этапе.
Компьютеры все мощные: i5 4460 + 8gb + SSD.

Они ответили:
По умолчанию стоит максимальная защита, единственное что указано сканирование съемных носителей по желанию, мы можем переставить на автоматическое сканирование.
Откройте антивирус---F5---Защита от вирусов---Съемные носители---Действие "Автоматическое сканирование устройств"

 

[safety]

да, пока понаблюдаем за темой .

 

[safety]

и следует готовить систему к более серьезным испытаниям. Таким как атаки шифраторов через незакрытые уязвимости системы

Сегодня, 12 мая 2017 года (примечание:без объявления войны), компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage

https://www.bleepingcomputer.com/ne...oit-leaked-by-shadow-brokers-is-on-a-rampage/

+

Mitigation and Prevention
Organizations looking to mitigate the risk of becoming compromised should follow the following recommendations:

Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.


Additionally, organizations should strongly consider blocking connections to TOR nodes and TOR traffic on network. Known TOR exit nodes are listed within the Security Intelligence feed of ASA Firepower devices. Enabling this to be blacklisted will prevent outbound communications to TOR networks.

In addition to the mitigations listed above, Talos strongly encourages organizations take the following industry-standard recommended best practices to prevent attacks and campaigns like this and similar ones.

Ensure your organization is running an actively supported operating system that receives security updates.
Have effective patch management that deploys security updates to endpoints and other critical parts of your infrastructure in a timely manner.
Run anti-malware software on your system and ensure you regularly receive malware signature updates.
Implement a disaster recovery plan that includes backing up and restoring data from devices that are kept offline. Adversaries frequently target backup mechanisms to limit the possibilities a user may be able to restore their files without paying the ransom.

http://blog.talosintelligence.com/2017/05/wannacry.html
+
как временная мера, потому что возможно хэши поменяются.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.
------------

 

[Wolfil14]

Спасибо за то, что не забываете))
На выходные уезжал, снова извиняюсь, что не мог ответить.
Кончилась проверка dr web cure it.
Ничего найдено не было. Работает вроде бы все хорошо)
Скрипт выполнил, может его стоит выполнить на всех ПК?

 

[safety]

я думаю, в первую очередь надо установить рекомендованные патчи.