[QUOTE]
Сергей Шустов написал:
добрый день.
1. поднял версию до предпоследнего (июньского) кумулятива.
2. [URL=https://disk.yandex.ru/d/aj_C_SnLXUCvDQ]образ UVS[/URL]
3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло[/QUOTE]
судя по образу версия обновилась.
[B]Exchange Server 2016 CU21 29 июня 2021 г. 15.1.2308.8 15.01.2308.008[/B]
рекомендуется так же установить все критические обновления для системы.
да, здесь есть запуск майнера
[QUOTE]C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
192.168.90.52:46366 <-> 95.216.46.125:443
[/QUOTE]
но жаль, что вы не обратили внимание на просьбу
а), [B]сделать образ актуальной версией uVS 4.11.12[/B]
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
перед созданием образа необходимо чтобы были выполнены твики 39 и 41, которые включают отслеживание создаваемых процессов и задач, с момента загрузки системы+ отслеживание логов DNS с целью определить (процесс или задачу) источник запуска майнера.
[QUOTE]3. выполнил .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs , но, чтот ничего не произошло[/QUOTE]
файл лога был создан в данной папке? вот он и нужен для анализа.
проверить локальный сервер и скопировать идентифицированные журналы и файлы в OutPath:
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs -CollectFiles
-------------------------
>>>антивируса пока нет там
проверьте систему сканерами:
1. Microsoft Safety Scanner
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
2. Malwarebytes
https://forum.esetnod32.ru/forum9/topic10688/
3. добавьте лог ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/
>>>майнер запускается в выходные раз в две недели....
майнер запустился уже после установки куммулятивного обновления?
что нужно сделать:
1. скачаь актуальную версию uVS 4.11.12[URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0][B] отсюда[/B][/URL]
2. выполнить скрипт в uVS с перезагрузкой системы, в удобное для вас время, накануне предполагаемого запуска майнера.
[code];uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
regt 41
restart
[/code]
3. как только майнер запустится, создать образ автозапуска в uVS.
(uVS можно предварительно запустить, но образ создавать только после запуска процесса с майнером)
4. после создания образа автозапуска - процесс с майнером можно закрыть.
5. далее, уже анализируем (здесь) по образу, какая доп. информация попадет (по процессам, задачам, логам DNS)