Решена задача Backball и множество запущенных PS скриптов

Статус
В этой теме нельзя размещать новые ответы.

Iceman

Новый пользователь
Сообщения
36
Реакции
3
Добрый день!

Как писал в предыдущей теме впервые в сети данный вирус появился на почтовом сервере, и вот опять он появился на нем. Хочется понять откуда он там появляется или может я не всё чищу с помощью утилит. Касперский сам удалил часть файлов из папки Windows\Temp и Windows\Microsoft.NET\Framework64\v4.0.30319. Это было множество DLL.

Запустил AutoLogger, результат во вложении.
 

Вложения

  • CollectionLog-2021.06.17-17.27.zip
    109.5 KB · Просмотры: 11
Здравствуйте!

Сделайте такую проверку.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Спасибо, изучу, сделаю проверку и напишу.
 
Выполнил скрипт и сканирование, логи прикрепил
 

Вложения

  • logs.rar
    20.2 KB · Просмотры: 8
Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    Task: {306F3496-D980-4713-BC89-ECF0DB96968A} - System32\Tasks\blackball1 => blackball1
    Task: {426EEE4C-A83D-460C-9456-3D3B298E0C05} - System32\Tasks\blackball => blackball
    Task: {716AB25D-4AA4-4850-BA61-A7DBB71EF94C} - System32\Tasks\t.hwqloan.com => t.hwqloan.com
    2021-06-16 14:24 - 2021-06-16 14:25 - 000000000 ____D C:\Windows\system32\Tasks\eSL7AEsqUf
    2021-06-16 14:24 - 2021-06-16 14:24 - 000003310 _____ C:\Windows\system32\Tasks\t.hwqloan.com
    2021-06-16 14:24 - 2021-06-16 14:24 - 000003304 _____ C:\Windows\system32\Tasks\blackball1
    2021-06-16 14:24 - 2021-06-16 14:24 - 000003302 _____ C:\Windows\system32\Tasks\blackball
    2021-06-16 10:17 - 2021-06-18 00:23 - 000000000 ____D C:\Users\administrator\AppData\Local\Temp\1
    2021-06-16 10:07 - 2021-06-16 10:07 - 000000004 _____ C:\Users\administrator\AppData\Local\Temp\codeint3985
    2021-06-16 10:07 - 2021-06-16 10:07 - 000000002 _____ C:\Users\administrator\AppData\Local\Temp\codeint8494
    2021-06-15 19:04 - 2021-06-15 19:05 - 000000000 ____D C:\Windows\system32\Tasks\JqAcGB86Z
    2021-06-11 10:15 - 2021-06-11 10:15 - 000000004 _____ C:\Users\administrator\AppData\Local\Temp\codeint6188
    2021-06-11 10:15 - 2021-06-11 10:15 - 000000002 _____ C:\Users\administrator\AppData\Local\Temp\codeint3516
    2021-06-11 10:07 - 2021-06-11 10:07 - 000000000 _____ C:\Users\administrator\AppData\Local\Temp\DMI6DDE.tmp
    2021-06-11 04:25 - 2021-06-11 04:26 - 000000000 ____D C:\Windows\system32\Tasks\tFGq9Q1
    FirewallRules: [{BE01A6C9-A2EA-46E6-8F68-39E43F89F904}] => (Allow) LPort=80
    FirewallRules: [{BADBD7AA-6873-4C9B-8860-A846D7CEEF6B}] => (Allow) LPort=443
    FirewallRules: [{D7A5E7C6-17E6-41EA-A283-EC07F81B90CF}] => (Allow) LPort=139
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Установил URL Rewrite Module 2.1 и запустил ExchangeMitigations.ps1

Fixlist выполнил
 
Последнее редактирование:
Вот
 

Вложения

  • Fixlog.txt
    5 KB · Просмотры: 6
Что сейчас с проблемой?
 
Сейчас её вроде нет, но пока Exchange не запускается
 
Службы все запущены, но подключиться к нему пока не удается
 
Тут уже не подскажу, Exchange не знаю. Может кто из коллег что добавит. Впрочем, это к лечению не относится.
Создайте тему, например, в этом разделе. Там больше участников форума смогут ответить.
 
Сейчас буду разбираться, есть резервная копия, попробую повторить шаги лечения и понять в чем дело. В любом случае ОГРОМНОЕ спасибо, самое главное что стало понятно откуда идет эта проблема.
 
Проблема с запуском Exchange была связана скорее всего с обновлением IIS, нужно было зайти в оснаску диспетчера IIS зайти в Пул приложений почтового сервера и включить два выключенных фильтра: MSExchangeECPAppPool и MSExchangeOABAppPool. После это все завелось как надо.

Вот теперь интересно, это проблема только с Exchange или и с другими сервисами на основе IIS, такие как RemoteDesktopService.
 
По нашей части можете ещё проверить уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.
 
Прошелся ещё раз AutoLogger, FRST, а также скриптом из поста выше. Логи прикрепил, AVZ написал об отсутствии уязвимостей.
 

Вложения

  • Addition.txt
    44.8 KB · Просмотры: 6
  • CollectionLog-2021.06.18-10.49.zip
    111.3 KB · Просмотры: 6
  • FRST.txt
    28.5 KB · Просмотры: 6
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу