Подозрение на заражение
 

Добрый день! Windows Server 2008R2 подозрение на заражение (мелькает какой-то процесс в диспетчере задач; нагрузка на ЦП; после открытия диспетчера задач - нагрузка на ЦП падает; через некоторое время Диспетчер задач самопроизвольно закрывается) Лог прикрепляю. Спасибо!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Adobe Flash Player 11 Plugin 64-bit - устарел и больше не поддерживается. Удалите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Можно ли выполнить данный скрипт из терминала?

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить.

К сожалению, там остаться не вариант, когда работают пользователи - это не сделаешь, когда заканчивается рабочий день все закрывается и развозит служебка, если оставаться то сразу на всю ночь)
Поэтому и спрашиваю, выполнить скрипт и сразу отправить на ребут... А лог собрать с консоли уже. После выполнения скрипта не отрубит терминал, был ли у вас такой опыт?

Если есть возможность подключиться, например, через TeamViewer, то сработает и также через Team пустите на перезагрузку.
Конечно, желательно бы находиться там рядом, мало ли что может пойти не так, как задумано.

Вредонос сидит в системе, попробуйте как-то запланировать остановку сервера, предупредив заблаговременно всех пользователей.

Вот так сделать смогу. Спасибо. О результатах отпишу

Из терминальной сессии все прошло успешно
Отправил на почту
Логи смогу собрать только завтра с утра.

Хорошо.

Обновленные логи прикрепляю

Тут уже выглядит лучше.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Отчеты:

В системе шесть администраторов. На мой взгляд - многовато. Желательно у всех сменить пароли на учётную запись.

Следующий скрипт сделает некоторые небольшие изменения и удалит разрешающие правила на перечисленные порты.
Если открывали их специально, сообщите до выполнения скрипта.

Сообщите известны ли вам все эти файлы:
Понадобится также перезагрузка.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
Task: {C922BA2B-20E2-430A-8C83-898531D33855} - System32\Tasks\wificart => C:\Windows\system32\config\systemprofile\AppData\Roaming\wificart.exe (Нет файла) <==== ВНИМАНИЕ
2022-02-26 08:53 - 2022-02-26 08:31 - 087057343 _____ () C:\ProgramData\migrate.exe
2022-02-26 08:53 - 2022-02-26 07:54 - 000000032 _____ () C:\ProgramData\ru.bat
2022-02-26 08:53 - 2022-02-26 08:14 - 000002368 _____ () C:\ProgramData\st.bat
2020-12-14 01:15 - 2020-12-16 05:51 - 000048640 _____ () C:\ProgramData\Update-os.exe
2020-12-30 15:17 - 2020-12-30 22:48 - 019071488 _____ (6.1.23.45) C:\ProgramData\Virus.exe
2020-12-17 11:23 - 2020-12-24 19:18 - 019071488 _____ (6.1.23.45) C:\ProgramData\VirusTotal.exe
2020-12-18 14:18 - 2020-12-18 14:24 - 018866688 _____ (WinRAR) C:\ProgramData\winrar-x64-591d.exe
FirewallRules: [{4B9C2C1A-290C-4979-B74D-CE0A344A222D}] => (Block) LPort=88
FirewallRules: [{C7E9BE11-A2F2-4803-8920-DC6FAC5F7BA2}] => (Allow) LPort=3389
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Согласен. Поправил
НеизвестныВсе порты открыты нами. Получается скрипт выполнять нет необходимости?

Выполните, я его подправил.
Порт 3389 держать открытым - плохая идея. Отсюда и постоянное заражение.

Странно, он не используется, он поменян и в правилах не могу его найти.
Хорошо

Скрипт в том числе уберет разрешение на этот порт.

Не могу понять, это просто старая запись осталась.
Я писал ранее что имел ввиду что RDP порт используется, но изменен его номер. После выполнения скрипта будет ли работать RDP?

После выполнения скрипта не заходит по RDP (((( на экране: "Клиент групповой политики" и крутится значок и не заходит. Завтра будет кипешь конкретный ....

Дал волю эмоциям, надо было просто подождать))
Прикрепляю

Хорошо. Проблема решена?

Вы знаете, до вчера ЦП был спокоен, а сегодня опять скачки. Завтра соберу логи как в первом сообщении. Может это уже что-то другое

2 процесса: find.exe и find.exe*32. Почитал немного (кстати, вы там рекомендации даете) , расположение соответствует значению по умолчанию. В службах (Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.) тоже ничего критичного нет.

Прикрепляю

Да, заразились по новой. Разрешения на порты всё-таки закроем, но сначала

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger, только предварительно скачайте его заново, версия обновилась.
Прикрепите свежий CollectionLog.

Вот этот пользователь указан, может у него что с ПК? с его ПК делать что-нибудь нужно?

Смените пароль его учётной записи и проверьте компьютер штатным антивирусом. Если такого нет, можно разовым - KVRT или CureIt.

Отправил.А вот с этим уже будет сложнее, больше физического доступа к серверу у меня не будет (( Есть варианты?

После выполнения первого скрипта и перезагрузки нагрузка на ЦП упала. После выполнения второго - возобновилась вновь. И опять появились эти процессы, которые были удалены скриптом. Перед этим сменил пароль на учётную запись.

Второй скрипт всего лишь собирает в архив файлы, взятые в карантин.

Проверьте уязвимые места сервера:
Выполните скрипт в AVZ при наличии доступа в интернет:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Это понятно, просто чтобы вы понимали последовательность действий.
Было две уязвимости:

Поправил. После:

Дальнейшие действия?

То, что был отключен UAC - серьёзная уязвимость.
Соберите новые логи, можно FRST.

Если предполагаете, что заражение происходит через один из подключаемых к серверу компьютеров, думаю, нужно отключить всех и изменить пароли на подключение.
Затем по очереди каждый пролечить, например, через KVRT. После чего по одному подключать.

Приврепил
Думаю вряд-ли. Они подключаются через RemoteApp, на сервере ничего не делают кроме 1С. и прав админских ни у кого нет

Известны ли вам эти файлы?
Файл
проверьте на www.virustotal.com и дайте ссылку на результат.
Скорее всего вредонос и можно удалить.

Неизвестны

https://www.virustotal.com/gui/file/...4f191b9dab1837

Все перечисленные файлы удалите.

Просканируйте систему с помощью KVRT.
Будет создана папка C:\KVRT2020_Data\Reports
Упакуйте её в архив и прикрепите к следующему сообщению.

После этого перезагрузка нужна будет?
Из терминального сеанса врядли это удасться сделать. буду планировать под выходные чтобы кто-нибудь дал мне доступ через TeamViewer

Нет.

Хорошо.

Вот это удалилось.
это не удаляется, занято таким-то процессом, через диспетчер задач завершаешь процесс, закрывается диспетчер задач и процесс запускается заново. Как еще можно удалить?

Как видите, такой способ лечения, которым мы с вами пробуем лечить - не эффективен.

Других способов лечения я пока не вижу:
с последующей перезагрузкой.
После перезагрузки и без подключения к сети стОит ещё раз проверить.

Системный раздел тоже проверить?

Да, обязательно. И "Все разделы" я бы тоже отметил.

KVRT проверка будет долгая, может если я через TeamViewer получу доступ к серверу, соберу лог по правилам? Подойдет?

Хорошо. Не забудьте показать отчёт CC:\KVRT2020_Data\Reports

А как я покажу, если у вас спрашиваю вместо KVRT собрать логи, чтобы не ждать пару дней. У меня ноут 1ТБ лопатил около суток, а тут 4ТБ ..

Я вас понял.
Но нужно всё-таки сделать полную проверку. Логов наших утилит недостаточно.

Тему пока отмечу решенной, нужно уехать на неопределенное время, пока кому-то передать не представляется возможным. Как получится, открою ее заново. Спасибо за консультацию