Технический форум

Технический форум (http://www.tehnari.ru/)
-   Форум по вирусам и антивирусам (http://www.tehnari.ru/f183/)
-   -   Вирус на сервере (http://www.tehnari.ru/f183/t253600/)

Wolfil14 05.05.2017 11:12

Вирус на сервере
 
Вложений: 8
Добрый день, прошу помощи.
Ситуация такая, небольшая фирма, в локальной сети 10 ПК и 1 компьютер выполняет роль сервера. Везде Windows 7 64 бит.
Обнаружил на нем вирус с помощью программы Eset Endpoint Antivirus - все ПО на всех компьютерах - лицензионное. Данный антивирус установлен на все ПК.

Вирус ведет себя так:
1) Он не дает почти о себе знать толком - дискомфорта не несет видимого.

2) Каждые пару минут появляется сообщение "Обнаружена угроза" в двух вариантах (Прикладываю скриншоты).

3) В корне диска С создаются файлы c расширением EXE и странными названиями - как правило из одних цифр. Но сегодня появился там файл с названием - demo.exe.

4) Думаю что он заблокировал доступ к серверной части программы NormaCS установленной у нас на сервере. Клиентские программы не получают доступа к серверной части, когда пытаются подключиться. Началось это именно в день нахождения вируса.

5) Апогеем стало сегодня - появление в корне диска С файла:
1.txt - c содержанием:

82.208.**.**:3389|ASP.admin|Fuck@nsa445

Это наш внешний белый IP, звездочками скрыл я. А далее какой то порт, а то что дальше вообще не знаю как на это реагировать.

Что я сделал:
1) Проверил все ПК c помощью Eset Endpoint Antivirus, включая сервер.
На двух ПК он нашел что то, на сервере тоже нашел. К сожалению тут я не сделал скриншоты. Но на сервере это был файл с названием cc1.exe лежал в папке ProgramData. Антивирус его удалил.

2) Далее я проверил Сервер с помощью Kaspersky Virus Tool и Dr web cure it. Dr web - ничего не нашел. Отчет того что нашел Kaspersky на скриншоте №3, один файл был локальный, другой в памяти. Он их якобы очистил. Но сообщения об угрозе все равно появлялись, доступ к NormaCS не вернулся, exe файлы в корне появлялись.

3) Затем я скачал Kaspersky live usb, запустил его до запуска системы естественно. Отчет прикладываю на двух скриншотах - он ничего не нашел.

4) После установил Malwarebytes, он нашел один файл, прикладываю отчет в формате TXT

5) Повторно проверял Eset Endpoint Antivirus и Kaspersky Virus Tool - ничего не находили

6) Зашел в разрешения брэндмауэра - там посмотрел что делается через этот порт из файла txt, оказалось - дистанционное управления. Закрыли разрешение на управление, оно было включено. Но что с этим делать дальше не знаю. Скриншот прикладываю (Тонкий и длинный скриншот :) )

7) Создал отчет uVS по инструкции, прикладываю, очень надеюсь на вашу помощь.

black88 05.05.2017 12:50

Попробуйте стингером.

Wolfil14 05.05.2017 12:59

Вложений: 1
Переделал логи, так как почему то когда пытался отправить их в тех поддержку ESET письмо не уходило. Новые логи нормальные))

Wolfil14 05.05.2017 13:03

Стингер ничего не нашел, вот отчет:

McAfee® Labs Stinger™ Version 12.1.0.2355 built on May 4 2017 at 02:07:43
Copyright© 2015, McAfee, Inc. All Rights Reserved.

AV Engine version v5900.7806 for Windows.
Virus data file v1000.0 created on May 4, 2017
Ready to scan for 10096 viruses, trojans and variants.

Scan initiated on пятница, Май 05, 2017 12:00:37


Summary Report on Smart Scan
File(s)
TotalFiles:............ 2149
Clean:................. 2147
Not Scanned:........... 2
Possibly Infected:..... 0

Time: 00:00:44

Scan completed on пятница, Май 05, 2017 12:01:21

black88 05.05.2017 13:09

Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM.

Wolfil14 05.05.2017 13:53

Вложений: 1
Память проверил все чисто, проверяется жесткий диск - еще раз переделал uVS - тех поддержка сказала что второй файл лога uVS тоже битый странно...

safety 05.05.2017 19:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:


;uVS v4.0 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\NOTPAD.EXE
;------------------------autoscript---------------------------

delall %SystemRoot%\NOTPAD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\ONE.VBS
apply

deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref E:\3027~1.244\SETUP.EXE
delref D:\AUTORUN.EXE
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

safety 05.05.2017 19:36

+
добавьте логи из журнала угроз антивируса ESET
(если их не получится получить, сделайте лог ESET_log_collector
https://download.eset.com/special/lo...lector_rus.exe

safety 06.05.2017 16:27

+
добавьте образ автозапуска сделанный актуальной версией uVS 4.0.1, в которой возможно будет заметна активность обработчиков WMI
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

Wolfil14 09.05.2017 20:48

Вложений: 1
Извиняюсь за долгое отсутствие, попробовал сделать скрипт - не вышло. Поэтому остальное делать не стал. Прошу помогите)


Часовой пояс GMT +4, время: 05:11.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.