Trojan:Win32/Powemet.A!attk и не только

@Joramormont · Регистрация: 06.11.2019

Студворк — интернет-сервис помощи студентам

Здравствуйте, Windows Defender второй день по несколько раз блокирует угрозу Trojan:Win32/Powemet.A!attk, а так же пару раз были другие трояны, но не успел зафиксировать.
SpyHunter 5 нашёл вроде, но нужно ждать 48 часов. Dr Web CureIt не нашёл ничего.

@SQx · 05.07.2022, 04:32

Здравствуйте,

Насколько я вижу у Вас установлнено два сервера баз-данных MS SQL Server 2019 и MS SQL Server 2008R2 когда вы тестировали вы отключали их оба? Больше интересует (официально не поддерживаемая версия компанией Microsoft)MS SQL 2008R2, которая может быть уязвима. В любом случае по возможности проверить, если на дату появления вредоносного ПО не появились какие-то левые/подозрительные пользователи на сервер баз-данных MS SQL.

@Joramormont · 05.07.2022, 10:08 **[ТС]**

вот security check

@Joramormont · 05.07.2022, 10:09 **[ТС]**

Наверное 2008 года не отключал, сейчас попробую

@thyrex · 05.07.2022, 10:20

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.30.1 v.2.30.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.1.5 Внимание! Скачать обновления
Microsoft 365 - ru-ru v.16.0.15225.20288 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 6.1.14 v.6.1.14 Внимание! Скачать обновления
Node.js v.12.13.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
VMware Player v.16.2.2 Внимание! Скачать обновления
Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.60.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.2.6 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype для бизнеса базовый 2016 - ru-ru v.16.0.15225.20288 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Discord v.0.0.310 Внимание! Скачать обновления
WhatsApp v.2.2142.12 Внимание! Скачать обновления
Zoom v.5.9.1 (2581) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Windscribe v.2.3 Build 16 Внимание! Это приложение может не работать в Российской Федерации в связи с ограничением работы или блокировкой.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.88 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
VdhCoApp 1.6.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Reg Organizer, версия 8.42 v.8.42 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Исправляйте указанное

@Joramormont · 05.07.2022, 12:13 **[ТС]**

Чем не пользуюсь, удалил, остальное всё обновил. Всё связанное с SQL сервером вообще удалил, даже 2019 года. Пока не нужно)
Как ни странно, ничего не изменилось

@Sandor · 05.07.2022, 12:17

Joramormont, к сети подключаетесь через роутер? Если да, один компьютер или несколько?

@Joramormont · 05.07.2022, 12:19 **[ТС]**

Через роутер, не один. У других такой проблемы нет

@Sandor · 05.07.2022, 12:24

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

@Joramormont · 06.07.2022, 09:53 **[ТС]**

Весь день вчера сканировало. Вот оно

@Sandor · 06.07.2022, 10:29

Смотрю, вы уже запускали его 29 июня. Нужно было об этом сообщить

И тогда и сейчас ничего не найдено.

Если проблема всё ещё сохраняется, удалите старые, соберите и прикрепите новые логи FRST.txt и Addition.txt ещё раз из нормального режима.

@Joramormont · 06.07.2022, 10:53 **[ТС]**

Я уже забыл совсем)

@Sandor · 06.07.2022, 11:11

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
AV: Norton Security (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
FirewallRules: [{3949BBDF-5858-4193-9C2E-FE6098DB4436}] => (Allow) LPort=1688
FirewallRules: [{5C9E8130-52B1-4832-9076-256A3B1BB104}] => (Allow) LPort=80
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Выполнение скрипта может занять длительное время, не прерывайте и дождитесь окончания.

@Joramormont · 06.07.2022, 11:34 **[ТС]**

Угроза не ушла(

@Sandor · 06.07.2022, 11:45

Сделайте лог Process Monitor следующим образом:
запустите Process Monitor;
меню Options -> включите флажок Enable Boot Logging;
перезагрузитесь;
после этого воспроизведите проблему, можно запустить проверку Защитником до момента обнаружения угрозы;
затем запустите Process Monitor и сохраните лог: меню File -> Save -> PML-формат;
заархивируйте и выложите на файлообменник, например, на Я.диск или любой другой.

@Joramormont · 06.07.2022, 12:06 **[ТС]**

https://disk.yandex.ru/d/oJ75Hl9LaoAI7w

@Sandor · 06.07.2022, 13:23

Спасибо! Некоторое время подождите. Постарайтесь ничего нового самостоятельно не устанавливать.

Добавлено через 1 час 13 минут
+
Пожалуйста, ещё раз удалите старые и прикрепите новые логи FRST.txt и Addition.txt

Dragokas · 06.07.2022, 18:17

Дефендер срабатывает раньше, чем наши трейсеры успевают отловить, поэтому ничего не видно.
Сделаем иначе:

Скачайте приложенный архив (он содержит драйвер SysMon и перехватчик Snake).
Распакуйте в удобное место.

1. Запустите setup-snake.reg и подтвердите слияние кнопкой "Да"
(это создаст временную защиту, пока Защитник будет отключён).

2. Отключите Защитник Windows:
- для этого, скачайте Defender Control by sordum:
- Распакуйте, запустите Defender_Settings.vbs, вы попадете в окно настроек защитника, выставьте все ползунки в состояние "Отключено".
- Затем распакуйте внутренний архив "dControl", пароль "sordum". Запустите dControl.exe. Нажмите кнопку "Disable Windows Defender" => Yes.

Вернитесь в папку "Sysmon-Snake" (из п.1).

3. Правой кнопкой мыши нажмите на "sysmon_installer.cmd" и выберите "Запуск от имени Администратора".

4. Повторите лог Process Monitor (защитник включать не нужно).
После перезагрузки системы, подождите какое-то время (обычно, такое за которое защитник начинал находить угрозу).
Пришлите лог Process Monitor-a.

5. Запустите dControl.exe и нажмите "Enable Windows Defender".
6. Запустите Defender_Settings.vbs и включите все ползунки защитника.
7. Запустите remove-snake.reg и подтвердите слияние кнопкой "Да".

8. Правой кнопкой мыши нажмите на "sysmon_getlogs.cmd" и выберите "Запуск от имени Администратора".
Пришлите полученный файл result.json

9. Правой кнопкой мыши нажмите на "sysmon_remove.cmd" и выберите "Запуск от имени Администратора".
10. Удалите папку C:\Snake

Все скачанные папки можно удалить, они больше не нужны (прим.: защитник может немного поругаться на Defender Control).

Dragokas · 06.07.2022, 18:27

++ забыл, из папки C:\Snake также пришлите отчёты - файлы logfile(цифра).log

@Joramormont · 06.07.2022, 20:13 **[ТС]**

вот

@Joramormont · 07.07.2022, 00:20 **[ТС]**

Не могу выполнить((

Новые блоги и статьи Все статьи Все блоги /
Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .
Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .

@SQx Вирусоборец 157 / 151 / 28 Регистрация: 12.01.2017 Сообщений: 685
	05.07.2022, 04:32
	Здравствуйте, Насколько я вижу у Вас установлнено два сервера баз-данных MS SQL Server 2019 и MS SQL Server 2008R2 когда вы тестировали вы отключали их оба? Больше интересует (официально не поддерживаемая версия компанией Microsoft)MS SQL 2008R2, которая может быть уязвима. В любом случае по возможности проверить, если на дату появления вредоносного ПО не появились какие-то левые/подозрительные пользователи на сервер баз-данных MS SQL. 0

@Joramormont 1 / 1 / 0 Регистрация: 06.11.2019 Сообщений: 78
	05.07.2022, 10:09 [ТС]
	Наверное 2008 года не отключал, сейчас попробую 0

@Joramormont 1 / 1 / 0 Регистрация: 06.11.2019 Сообщений: 78
	05.07.2022, 12:13 [ТС]
	Чем не пользуюсь, удалил, остальное всё обновил. Всё связанное с SQL сервером вообще удалил, даже 2019 года. Пока не нужно) Как ни странно, ничего не изменилось 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,986
	05.07.2022, 12:17
	Joramormont, к сети подключаетесь через роутер? Если да, один компьютер или несколько? 0

@Joramormont 1 / 1 / 0 Регистрация: 06.11.2019 Сообщений: 78
	05.07.2022, 12:19 [ТС]
	Через роутер, не один. У других такой проблемы нет 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,986
	05.07.2022, 12:24
	Скачайте Microsoft Safety Scanner, запустите. В разделе Scan Options выберите FULL scan. Наберитесь терпения, сканирование может занять несколько часов. Дождитесь окончания. Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log Прикрепите его к следующему сообщению. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,986
	06.07.2022, 10:29
	Смотрю, вы уже запускали его 29 июня. Нужно было об этом сообщить И тогда и сейчас ничего не найдено. Если проблема всё ещё сохраняется, удалите старые, соберите и прикрепите новые логи FRST.txt и Addition.txt ещё раз из нормального режима. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,986
	06.07.2022, 11:45
	Сделайте лог Process Monitor следующим образом: запустите Process Monitor; меню Options -> включите флажок Enable Boot Logging; перезагрузитесь; после этого воспроизведите проблему, можно запустить проверку Защитником до момента обнаружения угрозы; затем запустите Process Monitor и сохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например, на Я.диск или любой другой. 0

@Joramormont 1 / 1 / 0 Регистрация: 06.11.2019 Сообщений: 78
	06.07.2022, 12:06 [ТС]
	https://disk.yandex.ru/d/oJ75Hl9LaoAI7w 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,986
	06.07.2022, 13:23
	Спасибо! Некоторое время подождите. Постарайтесь ничего нового самостоятельно не устанавливать. Добавлено через 1 час 13 минут + Пожалуйста, ещё раз удалите старые и прикрепите новые логи FRST.txt и Addition.txt 0

Dragokas 18033 / 7736 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	06.07.2022, 18:27
	++ забыл, из папки C:\Snake также пришлите отчёты - файлы logfile(цифра).log 0

@Joramormont 1 / 1 / 0 Регистрация: 06.11.2019 Сообщений: 78
	07.07.2022, 00:20 [ТС]
	Не могу выполнить(( Миниатюры 0