Если у вас появился WINSec.exe, wuauser.exe0, secscan.exe то вам суда
X

Привет дорогой друг

Наш сайт существует и развиваетется за счет рекламы. Пожалуйста, отключите блокировку рекламы AdBlock или подобное, для нашего сайта. Спасибо!
Показано с 1 по 3 из 3
  1. #1
    Пришел за помощью

    Регистрация
    19.05.2010
    Сообщений
    11
    Сказал(а) спасибо
    50
    Поблагодарили 56 раз(а) в 21 сообщениях

    По умолчанию Если у вас появился WINSec.exe, wuauser.exe0, secscan.exe то вам суда

    Итак недавно, а конкретно у меня это началось 19.04.2017, судя по логам во 2 часу ночи, с заражённой машины на сервак грузанулс вирус DOUBLEPULSAR (сейчас я уже знаю что это). Тогда я думал что меня взломали какие то бешеные хакеры и каким то невообразимым образом получили доступ к моему ПК (хотя так и было к ПК доступ получили, ненадолго :) но всё же).
    И так DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США.
    На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR.
    В загрузке у вашего ПК должнгы быть приблизительно вот такие файлы: WINSec.exe, wuauser.exe0, secscan.exe, это не полный набор все не копировал
    Удалить их можно самостоятельно, но при условии что система не зависла по полной. В безопасном режиме эта фигня не грузится
    по расположенным каталогам находится в следующих местах:C:\Windows\Prefetch ; C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files
    Распиловщик где то скрыт поскольку именно он при перезагрузке всё возвращает на места. В логах тишина откуда, что берётся непонятно да и времени совсем нет на изучение данной проблемы поскольку Юзера даже на клавиатуре не знаят где находится кнопка Ctrl.
    Так же временно вам поможет антивирусные утилиты от различных контор я на данный момент пользуюсь этой: esetonlinescanner_rus
    Короче говоря если вы заражены данным вирусом: под жестким ативирусом подключаем заражённый винт к чистой системе заходим через безопасный режим или через загрузочную флэш(на которой и установлен хороший антивирус) копируем нашу базу данных 1с или что там у вас, идём в магазин покупаем новый винт ставим всё как было с 0. Старый лежит в сторонке ждёт когда общество придумает лекарство.
    Сылка на иностранный источник.
    Сылка на форму где сейчас идёт более менее активная дискуссия на русском (с этого форума взята инфа о DOUBLEPULSAR)
    Из 4 серваков читый сейчас только один на котором тупо был поменян жесткий диск и полностью перестановлена система с 0.
    У тех у кого Windows Vista, 8, 10, server 2012, лицензионные естественно должны установить последнее обновления от Макрасофта и радоваться жизни.

  2. #2
    Пришел за помощью

    Регистрация
    19.05.2010
    Сообщений
    11
    Сказал(а) спасибо
    50
    Поблагодарили 56 раз(а) в 21 сообщениях

    По умолчанию Re: Если у вас появился WINSec.exe, wuauser.exe0, secscan.exe то вам суда

    Извините возможны ошибки не знаю как тут править.
    Забыл написать.
    Было заражено 5 машин в локальной системе. Ативирус при этом нифига не нашел и не находит.
    Как понял что именно они.
    В логах стали писаться огромное количество запросов (Аудит отказ) от этих машин на предмет входа через RDP, причем логин указан верный, а вот пароль поскольку при наборе в ******* тупо подбирался. Поскольку в основном у обычных пользователей пароль около 9 знаков то подборщик за пару дней ломает как минимум одного.
    Были очищены данные компы, но пишут что: меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
    Пока запросов с машин не идёт логи проверяю каждый час, но не спокойно ох не спокойно. Перебрал всю групповую политику ужесточил всё, что только можно на чистой машине 2 неделя тихо.

  3. #3
    Просто юзер

    Регистрация
    10.01.2011
    Сообщений
    70
    Сказал(а) спасибо
    1
    Поблагодарили 3 раз(а) в 3 сообщениях

    По умолчанию Re: Если у вас появился WINSec.exe, wuauser.exe0, secscan.exe то вам суда

    Ага, чё, пойду и я искать этот мусор. Мож найду чё.

Метки этой темы

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •