Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам


Ответ
 
Опции темы Опции просмотра
Старый 05.05.2017, 11:12   #1 (permalink)
Wolfil14
Member
 
Аватар для Wolfil14
 
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
Unhappy Вирус на сервере

Добрый день, прошу помощи.
Ситуация такая, небольшая фирма, в локальной сети 10 ПК и 1 компьютер выполняет роль сервера. Везде Windows 7 64 бит.
Обнаружил на нем вирус с помощью программы Eset Endpoint Antivirus - все ПО на всех компьютерах - лицензионное. Данный антивирус установлен на все ПК.

Вирус ведет себя так:
1) Он не дает почти о себе знать толком - дискомфорта не несет видимого.

2) Каждые пару минут появляется сообщение "Обнаружена угроза" в двух вариантах (Прикладываю скриншоты).

3) В корне диска С создаются файлы c расширением EXE и странными названиями - как правило из одних цифр. Но сегодня появился там файл с названием - demo.exe.

4) Думаю что он заблокировал доступ к серверной части программы NormaCS установленной у нас на сервере. Клиентские программы не получают доступа к серверной части, когда пытаются подключиться. Началось это именно в день нахождения вируса.

5) Апогеем стало сегодня - появление в корне диска С файла:
1.txt - c содержанием:

82.208.**.**:3389|ASP.admin|Fuck@nsa445

Это наш внешний белый IP, звездочками скрыл я. А далее какой то порт, а то что дальше вообще не знаю как на это реагировать.

Что я сделал:
1) Проверил все ПК c помощью Eset Endpoint Antivirus, включая сервер.
На двух ПК он нашел что то, на сервере тоже нашел. К сожалению тут я не сделал скриншоты. Но на сервере это был файл с названием cc1.exe лежал в папке ProgramData. Антивирус его удалил.

2) Далее я проверил Сервер с помощью Kaspersky Virus Tool и Dr web cure it. Dr web - ничего не нашел. Отчет того что нашел Kaspersky на скриншоте №3, один файл был локальный, другой в памяти. Он их якобы очистил. Но сообщения об угрозе все равно появлялись, доступ к NormaCS не вернулся, exe файлы в корне появлялись.

3) Затем я скачал Kaspersky live usb, запустил его до запуска системы естественно. Отчет прикладываю на двух скриншотах - он ничего не нашел.

4) После установил Malwarebytes, он нашел один файл, прикладываю отчет в формате TXT

5) Повторно проверял Eset Endpoint Antivirus и Kaspersky Virus Tool - ничего не находили

6) Зашел в разрешения брэндмауэра - там посмотрел что делается через этот порт из файла txt, оказалось - дистанционное управления. Закрыли разрешение на управление, оно было включено. Но что с этим делать дальше не знаю. Скриншот прикладываю (Тонкий и длинный скриншот )

7) Создал отчет uVS по инструкции, прикладываю, очень надеюсь на вашу помощь.
Миниатюры
1-2-.png   1-3-.png   1-1-.png   2-1-.jpg   2-2-.jpg  

3.png  
Вложения
Тип файла: 7z IV-DZ-SRV-01_2017-05-05_09-42-06.7z (589.5 Кб, 71 просмотров)
Тип файла: txt Отчет Malwarebytes.txt (2.1 Кб, 493 просмотров)

Последний раз редактировалось Wolfil14; 05.05.2017 в 11:20
Wolfil14 вне форума   Ответить с цитированием

Старый 05.05.2017, 11:12
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

На форуме имеются аналогичные топики, в которых возможно кроется решение вашего вопроса

Вирус заархивировал все документы и папки на сервере
Вирус кодирует и меняет раширение файлов офиса на сервере.
Вирус на сервере. Помогите.
Проблема - вирус или его последствия на Сервере(отваливается шара)
Проблема на сервере

Старый 05.05.2017, 12:50   #2 (permalink)
black88
Banned
 
Регистрация: 22.12.2015
Сообщений: 1,404
Сказал(а) спасибо: 45
Поблагодарили 10 раз(а) в 4 сообщениях
Репутация: 12622
По умолчанию

Попробуйте стингером.
black88 вне форума   Ответить с цитированием
Старый 05.05.2017, 12:59   #3 (permalink)
Wolfil14
Member
 
Аватар для Wolfil14
 
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
По умолчанию

Переделал логи, так как почему то когда пытался отправить их в тех поддержку ESET письмо не уходило. Новые логи нормальные))
Вложения
Тип файла: 7z IV-DZ-SRV-01_2017-05-05_11-54-33.7z (591.7 Кб, 60 просмотров)
Wolfil14 вне форума   Ответить с цитированием
Старый 05.05.2017, 13:03   #4 (permalink)
Wolfil14
Member
 
Аватар для Wolfil14
 
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
По умолчанию

Стингер ничего не нашел, вот отчет:

McAfee® Labs Stinger™ Version 12.1.0.2355 built on May 4 2017 at 02:07:43
Copyright© 2015, McAfee, Inc. All Rights Reserved.

AV Engine version v5900.7806 for Windows.
Virus data file v1000.0 created on May 4, 2017
Ready to scan for 10096 viruses, trojans and variants.

Scan initiated on пятница, Май 05, 2017 12:00:37


Summary Report on Smart Scan
File(s)
TotalFiles:............ 2149
Clean:................. 2147
Not Scanned:........... 2
Possibly Infected:..... 0

Time: 00:00:44

Scan completed on пятница, Май 05, 2017 12:01:21
Wolfil14 вне форума   Ответить с цитированием
Старый 05.05.2017, 13:09   #5 (permalink)
black88
Banned
 
Регистрация: 22.12.2015
Сообщений: 1,404
Сказал(а) спасибо: 45
Поблагодарили 10 раз(а) в 4 сообщениях
Репутация: 12622
По умолчанию

Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM.
black88 вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 05.05.2017, 13:53   #6 (permalink)
Wolfil14
Member
 
Аватар для Wolfil14
 
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
По умолчанию

Память проверил все чисто, проверяется жесткий диск - еще раз переделал uVS - тех поддержка сказала что второй файл лога uVS тоже битый странно...
Вложения
Тип файла: 7z IV-DZ-SRV-01_2017-05-05_12-47-51.7z (585.6 Кб, 65 просмотров)
Wolfil14 вне форума   Ответить с цитированием
Старый 05.05.2017, 19:26   #7 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\NOTPAD.EXE
;------------------------autoscript---------------------------

delall %SystemRoot%\NOTPAD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\ONE.VBS
apply

deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref E:\3027~1.244\SETUP.EXE
delref D:\AUTORUN.EXE
;-------------------------------------------------------------
czoo
restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума   Ответить с цитированием
Старый 05.05.2017, 19:36   #8 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

+
добавьте логи из журнала угроз антивируса ESET
(если их не получится получить, сделайте лог ESET_log_collector
https://download.eset.com/special/lo...lector_rus.exe
safety вне форума   Ответить с цитированием
Старый 06.05.2017, 16:27   #9 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

+
добавьте образ автозапуска сделанный актуальной версией uVS 4.0.1, в которой возможно будет заметна активность обработчиков WMI
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
safety вне форума   Ответить с цитированием
Старый 09.05.2017, 20:48   #10 (permalink)
Wolfil14
Member
 
Аватар для Wolfil14
 
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
По умолчанию

Извиняюсь за долгое отсутствие, попробовал сделать скрипт - не вышло. Поэтому остальное делать не стал. Прошу помогите)
Миниатюры
nieiie.png  
Wolfil14 вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 13:11.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.