13.08.2017, 19:01 | #1 (permalink) |
Member
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Майнер
|
13.08.2017, 19:01 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Рекомендую обратить внимание на данные ссылки Подозрение на майнер! Майнер? (uVS внутри) Майнер |
14.08.2017, 05:50 | #2 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
да, майнер активный есть,
только переделайте образ еще раз актуальной версией uVS. у вас устаревшая версия. uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] 4.0.9 можно скачать отсюда http://chklst.ru/data/uVS%20latest/uvs_latest.zip в обновленной версии добавлено детектирование скриптов WMI, которые наверняка есть в вашем случае. + установите патч для вашей системы, если еще не установлен. https://technet.microsoft.com/en-us/.../ms17-010.aspx возможно пробивает систему по сети (судя по скриншоту, это характерные файлики для сетевого червя, который использует эксплойт ETERNALBLUE). |
14.08.2017, 18:51 | #3 (permalink) |
Member
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Патч поставил, лог 4,09 uvs прилагаю
http://www.tehnari.ru/attachment.php...1&d=1502722301 |
14.08.2017, 19:26 | #4 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemRoot%\DEBUG\ITEM.DAT delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE delall %SystemRoot%\DEBUG\OK.DAT delref S.DAT delref S.RAR delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] apply ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U deltmp delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_22905\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2 delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_3352_21606\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2 delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE64.DLL delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\BBTALK\PLUGINS\NPPLUGIN\NPGARENATALKPLUGIN.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\BLANK.HTM delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\ALSYSIO64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\ROOM\SAFEDRV.SYS delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\GKERNEL.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE SETTLERS 7 - PATHS TO A KINGDOM\DATA\BASE\_DBG\BIN\RELEASE\ORBIT\NPUPLAYPC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_73\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_77\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\403031~1.2\MCCOREPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CMDLIN~1.DLL delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYFF.DLL delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE ELDER SCROLLS 5.SKYRIM.LEGENDARY EDITION.V 1.9.32.0.8 + 4 DLC\MOPY\WRYE BASH.EXE delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\AGE OF MYTHOLOGY - TITANS\AOMX.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\SHIPPING\EOCAPP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\FILEVIEWPRO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\MAXPAYNE2_CRACKED.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SUNLESS SEA\SUNLESS SEA.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WITCHER 3 MOD TOOLS\WCC_LITE.EXE ;------------------------------------------------------------- restart ---------- + добавьте новый образ автозапуска для контроля. |
14.08.2017, 19:46 | #5 (permalink) |
Member
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Сделано. Сработало или нет покажет время, но все равно спасибо за помощь!
http://www.tehnari.ru/attachment.php...1&d=1502725516 |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
15.08.2017, 05:47 | #6 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
файлик майнера остался в системе, но он уже неактивен, видимо какой-то из задач запускался.
+ еще сохранилась политика IPSec, которая была создана сетевым червем. теперь зачистим его новым скриптом. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemRoot%\SYSWOW64\LSMOS.EXE addsgn 19E4D4F6426A4C720BD447384616ED52E6EC77BAACFA9998E3488199522E84CDCE15C3573EAC682FDC51E21AAEE32F0DAD268E519DBC39600873C2B7A1096BB0 8 Win32/BitCoinMiner 7 chklst delvir apply ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U REGT 26 REGT 25 deltmp ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
16.08.2017, 06:02 | #8 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
хорошо, понаблюдайте за состоянием системы.
если патч ms-2017 установлен, атака на систему должна прекратиться. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|