Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak trwale usunąć bitcoin miner i Nevoros.B!Aeaa

Lukisss80 12 Lis 2017 10:17 1041 16
  • #2 12 Lis 2017 10:37
    Kolobos
    Spec od komputerów

    Odinstaluj Spybot, Trojan Remover.

    Wykonaj Fixlist.txt dla FRST:
    Startup: C:\Users\wasilewskab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TeamViewer 8.lnk [2013-10-10]
    ShortcutTarget: TeamViewer 8.lnk -> C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe (Brak pliku)
    BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
    2017-11-10 14:21 - 2017-11-10 14:25 - 000000000 ____D C:\AdwCleaner
    2017-11-09 13:58 - 2017-11-09 13:58 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
    2017-11-09 13:57 - 2017-11-12 08:25 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2017-11-09 13:57 - 2017-11-12 08:25 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2017-11-09 13:39 - 2017-11-09 13:39 - 000001039 _____ C:\Users\Public\Desktop\Trojan Remover.lnk
    2017-11-09 13:39 - 2017-11-09 13:39 - 000000000 ____D C:\Users\Administrator\Documents\Simply Super Software
    2017-11-09 13:38 - 2017-11-09 13:39 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
    2017-11-09 13:38 - 2017-11-09 13:39 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
    2017-11-09 13:38 - 2017-11-09 13:38 - 000000000 ____D C:\ProgramData\Simply Super Software
    2017-11-09 13:37 - 2017-11-09 13:37 - 010211512 _____ (Simply Super Software ) C:\Users\Administrator\Downloads\trjsetup695.exe
    2017-07-24 16:57 - 2017-04-21 13:00 - 000343552 __RSH (The curl library, https://curl.haxx.se/) C:\ProgramData\libcurl.dll
    2017-07-24 16:57 - 2017-02-19 11:13 - 000079637 ___SH (MingW-W64 Project. All rights reserved.) C:\ProgramData\libwinpthread-1.dll
    EmptyTemp:


    Zamiesc log z TDSSKiller.

    0
  • #4 12 Lis 2017 12:00
    Kolobos
    Spec od komputerów

    W FRST wyszukaj w rejestrze:
    kingsoft.exe oraz secury.exe

    Zamiesc log, ktory sie utworzy.

    0
  • #5 12 Lis 2017 12:35
    Lukisss80
    Poziom 4  

    Nic nie znalazł. Poniżej logi.

    Farbar Recovery Scan Tool (x64) Wersja: 11-11-2017
    Uruchomiony przez Administrator (12-11-2017 12:11:41)
    Uruchomiony z D:\DOSKOMP\aplikacje
    Tryb startu: Normal

    ================== Szukaj w rejestrze: "kingsoft.exe" ===========


    ====== Koniec Szukaj ======

    Farbar Recovery Scan Tool (x64) Wersja: 11-11-2017
    Uruchomiony przez Administrator (12-11-2017 12:28:01)
    Uruchomiony z D:\DOSKOMP\aplikacje
    Tryb startu: Normal

    ================== Szukaj w rejestrze: "secury.exe" ===========


    ====== Koniec Szukaj ======

    0
  • #6 12 Lis 2017 12:45
    Kolobos
    Spec od komputerów

    W logach tez nie widac wpisow odpowiedzialnych za start tych plikow.

    Moze uruchamiasz co jakis czas zainfekowany plik i dlatego infekcja wraca?

    0
  • #7 12 Lis 2017 13:09
    Lukisss80
    Poziom 4  

    to się dzieje samoczynnie o różnych porach dnia i nocy. Raz miałem 23:40 a dzisiaj o 6:30 rano.

    0
  • #8 12 Lis 2017 15:34
    Kolobos
    Spec od komputerów

    Jak znowu sie pojawia to ich nie usuwaj tylko wykonaj skanowanie w FRST i zamiesc nowe logi.

    0
  • #9 14 Lis 2017 14:11
    Lukisss80
    Poziom 4  

    Witam ponownie.

    Do tej chwili było spokojnie ale problem znowu powrócił.
    W załączeniu dodaję pliki z FRST oraz zrzut ekranu z widokiem procesu, obciązeniem procka oraz zawartość folderu c:\PROGRAMDATA.
    W tym folderze po infekcji tworzą się dwa pliki "b.exe" i "m.bat" Zawartość pliku m.bat w załączeniu.

    0
  • #10 14 Lis 2017 14:19
    Lukisss80
    Poziom 4  

    W rejestrze też nic nie znalazło:
    Farbar Recovery Scan Tool (x64) Wersja: 11-11-2017
    Uruchomiony przez Administrator (14-11-2017 14:15:43)
    Uruchomiony z C:\Users\Administrator\Desktop\aplikacje
    Tryb startu: Normal

    ================== Szukaj w rejestrze: "secury.exe" ===========


    ====== Koniec Szukaj ======

    0
  • #11 14 Lis 2017 14:26
    Kolobos
    Spec od komputerów

    Sam dodales te pliki:
    Task: {19556BA1-F46C-428E-8E05-88DE643570C9} - System32\Tasks\wpf del => C:\Backup wpf\DEL12AM.bat [2017-09-13] () <==== UWAGA
    Task: {33E854AC-5E51-4A29-BAD3-ABEDFC812A04} - System32\Tasks\Bestia Del => C:\Backup\DEL12AM.bat [2015-08-12] () <==== UWAGA
    Task: {3D50F58B-348C-44A3-B0FC-29723BA7A952} - System32\Tasks\Bestia => C:\Backup\12AM-backup.bat [2015-08-12] ()
    Task: {DE978B56-2F03-444F-ADA6-E94B9CE7C72A} - System32\Tasks\wpf => C:\Backup wpf\12AM-backup.bat [2017-09-13] ()

    Co sie w nich znajduje?

    Wykonaj Fixlist.txt:
    CloseProcesses:
    C:\ProgramData\b.exe
    C:\ProgramData\m.bat
    C:\ProgramData\secury.exe

    Jedyne co znalazlem na temat tej infekcji to: https://www.sqlservercentral.com/Forums/1884635/SQL-Server-suddenly-crashes?PageIndex=1
    Wychodzi na to, ze masz dziurawy serwer.

    0
  • #12 14 Lis 2017 14:45
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    Task: {19556BA1-F46C-428E-8E05-88DE643570C9} - System32\Tasks\wpf del => C:\Backup wpf\DEL12AM.bat [2017-09-13] () <==== UWAGA
    Task: {33E854AC-5E51-4A29-BAD3-ABEDFC812A04} - System32\Tasks\Bestia Del => C:\Backup\DEL12AM.bat [2015-08-12] () <==== UWAGA
    S3 WinDefend; %ProgramFiles%\Windows Defender\mpsvc.dll [X]
    S2 WscSvc; %SystemRoot%\System32\wscsvc.dll [X]
    2017-11-14 11:28 - 2017-11-14 11:28 - 000233984 __RSH (www.steam.com) C:\ProgramData\secury.exe
    2017-11-08 15:15 - 2017-11-14 13:58 - 000007601 _____ () C:\Users\Administrator\AppData\Local\Resmon.ResmonCfg
    2017-11-14 11:27 - 2017-11-14 12:50 - 000075776 _____ (Microsoft Corporation) C:\ProgramData\b.exe
    2017-11-13 16:31 - 2017-11-14 12:58 - 000001600 _____ () C:\ProgramData\m.bat
    2017-11-14 11:28 - 2017-11-14 11:28 - 000233984 __RSH (www.steam.com) C:\ProgramData\secury.exe
    C:\ProgramData\b.exe
    C:\ProgramData\m.bat
    C:\ProgramData\secury.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • #13 14 Lis 2017 15:38
    Lukisss80
    Poziom 4  

    pliki bat są bezpieczne. Ja je tworzyłem. Jest tak jak piszesz problem jest chyba w zaporze. Mam wystawiony serwer sql i otwarte porty 1433 i 1434. Zapora systemowa Windows. Porty publiczne przekierowane na routerze też są takie jak w zaporze 1433 i 1434. Zmiana portów publicznych powinna załatwić sprawę?? Jaki jest wasze zdanie. Nie posiadam UTMa. Router Draytek Vigor 2910.

    0
  • #14 14 Lis 2017 16:10
    Kolobos
    Spec od komputerów

    Zmiana portow raczej nic nie da, boty, ktore infekuja i tak zazwyczaj skanuja wszystkie porty danej maszyny.

    Zablokuj dostep do tych portow z internetu lub chociaz ustaw dostep tylko dla adresow, ktore z tego korzystaja.

    0
  • #15 14 Lis 2017 16:23
    Lukisss80
    Poziom 4  

    Większość użytkowników którzy łączą się z bazą ma zmienne IP także wpisanie zdalnych IP będzie niemożliwe. Użytkownicy korzystają z konkretnego programu może wskaże w zaporze ten program??

    0
  • #16 14 Lis 2017 16:55
    Kolobos
    Spec od komputerów

    Nie wiem co Ci doradzic, serwer bazy nie powinien byc dostepny z internetu, szczegolnie badziewie od MS i to takie przestarzale.

    W ogole korzystanie z Windows jako serwera jest ryzykowne.

    0
  • #17 14 Lis 2017 20:21
    Lukisss80
    Poziom 4  

    Rozumiem. Ale zastanówmy się. Jak w obecnych warunkach zabezpieczyć serwer... Zmieniłem zewnętrzny port w routerze, zmieniłem hasło w instancji sql, w zaporze przy otwartych portach 1433 i 1434 dodałem ścieżkę do programu którym użytkownicy będą się komunikować. Macie jeszcze jakieś pomysły??

    0