Выбрать дату в календареВыбрать дату в календаре

поговорить о uVS, Carberp, планете Земля
переделал виды запуска майнеров в таблицу, так будет лучше.

MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]DNS лог: 0
Отслеживание задач: 0
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1[/QUOTE]
отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.

на первом сервере (Имя компьютера: IZTVMAIL01)
[QUOTE]pid=7260 NT AUTHORITY\СИСТЕМА
17:43:35 [2021.08.07]
cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
CPU 1013,99%
[B]parentid=13100[/B] не определился, или был закрыт после запуска майнера.
192.168.24.26:38069 <-> 95.216.46.125:443[/QUOTE]


на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.
[QUOTE]C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
17:34:15 [2021.08.07]
parentid=27320
192.168.10.26:51537 <-> 95.216.46.125:443
----------------[/QUOTE]
отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07].
в WMI - чисто

в пред. образе от 30.07
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
03:48:12 [2021.07.30]
1001,31%
192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country:        FI/
----------------

итого:
[B]1. запуск происх примерно в одно и тоже время на обоих серверах.[/B]
2. запуск майнера идентичный на обоих серверах
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.


4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320

5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,
[ Закрыто] Объект угроза MSIL/CoinMiner.BLB, С пустого места словил вирусняк
все может быть,
доставка вредоносных программ на комп пользователя - целая индустрия.
если модифицированный файл сохранился, проверьте его там же, на Virustotal.com, и дайте нам ссылку на линк проверки.
то, что нет изначального детекта у антивирусов - это естественная практика злоумышленников, сбить детект, выложить сборку, привлечь к ней внимание.
знают, что обнаружение будет, но не сразу.
[ Закрыто] MSIL/CoinMiner.BLB
будьте внимательны при скачивании и установке программ с недоверенных сайтов.
[ Закрыто] MSIL/CoinMiner.BLB
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\DOK44\APPDATA\ROAMING\STEAMAPI\CHARTTABL­E\GAMESLIST\STEAMAPILIB.DLL
addsgn BA4D77BA55EA4D720BD4515164C81205258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 64 MSIL/Agent.TPR [ESET-NOD32] 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\USERS\DOK44\APPDATA\LOCAL\TEMP\WCT8483.TMP
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA RTX VOICE\NVIDIA RTX VOICE.EXE
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVRVPNGUI.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\BLANK.HTM
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\ENE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVCONTROLSVC.EXE
delref %Sys32%\DRIVERS\VBAUDIO_VMAUXVAIO64_WIN10.SYS
delref %Sys32%\DRIVERS\VBAUDIO_VMVAIO64_WIN10.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref D:\TV\TEAMVIEWER.EXE
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref F:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE
delref %SystemDrive%\USERS\DOK44\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref D:\STEAM\STEAMAPPS\COMMON\CRY OF FEAR\COF.EXE
delref %SystemDrive%\PROGRAM FILES\IMAGE-LINE\FL STUDIO 20\FL64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------
czoo

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
поговорить о uVS, Carberp, планете Земля
кстати, сюда надо почаще заглядывать, здесь просто кладезь полезной информации по нашей профильной теме.

[QUOTE]Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1]

Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется[/QUOTE]

https://attack.mitre.org/techniques/T1218/010/
[ Закрыто] Объект угроза MSIL/CoinMiner.BLB, С пустого места словил вирусняк
[QUOTE]С пустого места словил вирусняк [/QUOTE]
откуда кстати файл прилетел: после захода на сайт, или после установки некоторой программы?
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
На V.T. обновили базы теперь файл  cef5aa279f639d500f83f51ae3bb846a2908019d  определяется как 1/68:  ESET-NOD32  A Variant Of MSIL/Agent.URR[/QUOTE]
отлично!
[ Закрыто] Объект угроза MSIL/CoinMiner.BLB найден в файле..., На днях eset начал выдавать окно о вирусе, причём каждую минуту.
думаю, файл уже детектируется

[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
06.08.2021 17:51:29;Защита файловой системы в реальном времени;файл;G:\DATA\image\майнеры\hashcalc\ZOO_2021-08-06_08-37-18\STEAMAPILIB.DLL._CEF5AA279F639D500F83F51AE3BB846A2908019D;модифицированный MSIL/Agent.URR троянская программа;очищено удалением;-Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (8288CDC1F6AB89A159E5A1A17A22F4AEB7838A61).;CEF5AA279F639D500F83F51AE3BB846A2908019D;06.08.2021 12:42:51
[/QUOTE]
[ Закрыто] Объект угроза MSIL/CoinMiner.BLB найден в файле..., На днях eset начал выдавать окно о вирусе, причём каждую минуту.
систему, так понимаю уже очистили,
скрипт поправил, используйте исправленный скрипт