05.05.2017, 11:12 | #1 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Вирус на сервере
Ситуация такая, небольшая фирма, в локальной сети 10 ПК и 1 компьютер выполняет роль сервера. Везде Windows 7 64 бит. Обнаружил на нем вирус с помощью программы Eset Endpoint Antivirus - все ПО на всех компьютерах - лицензионное. Данный антивирус установлен на все ПК. Вирус ведет себя так: 1) Он не дает почти о себе знать толком - дискомфорта не несет видимого. 2) Каждые пару минут появляется сообщение "Обнаружена угроза" в двух вариантах (Прикладываю скриншоты). 3) В корне диска С создаются файлы c расширением EXE и странными названиями - как правило из одних цифр. Но сегодня появился там файл с названием - demo.exe. 4) Думаю что он заблокировал доступ к серверной части программы NormaCS установленной у нас на сервере. Клиентские программы не получают доступа к серверной части, когда пытаются подключиться. Началось это именно в день нахождения вируса. 5) Апогеем стало сегодня - появление в корне диска С файла: 1.txt - c содержанием: 82.208.**.**:3389|ASP.admin|Fuck@nsa445 Это наш внешний белый IP, звездочками скрыл я. А далее какой то порт, а то что дальше вообще не знаю как на это реагировать. Что я сделал: 1) Проверил все ПК c помощью Eset Endpoint Antivirus, включая сервер. На двух ПК он нашел что то, на сервере тоже нашел. К сожалению тут я не сделал скриншоты. Но на сервере это был файл с названием cc1.exe лежал в папке ProgramData. Антивирус его удалил. 2) Далее я проверил Сервер с помощью Kaspersky Virus Tool и Dr web cure it. Dr web - ничего не нашел. Отчет того что нашел Kaspersky на скриншоте №3, один файл был локальный, другой в памяти. Он их якобы очистил. Но сообщения об угрозе все равно появлялись, доступ к NormaCS не вернулся, exe файлы в корне появлялись. 3) Затем я скачал Kaspersky live usb, запустил его до запуска системы естественно. Отчет прикладываю на двух скриншотах - он ничего не нашел. 4) После установил Malwarebytes, он нашел один файл, прикладываю отчет в формате TXT 5) Повторно проверял Eset Endpoint Antivirus и Kaspersky Virus Tool - ничего не находили 6) Зашел в разрешения брэндмауэра - там посмотрел что делается через этот порт из файла txt, оказалось - дистанционное управления. Закрыли разрешение на управление, оно было включено. Но что с этим делать дальше не знаю. Скриншот прикладываю (Тонкий и длинный скриншот ) 7) Создал отчет uVS по инструкции, прикладываю, очень надеюсь на вашу помощь. Последний раз редактировалось Wolfil14; 05.05.2017 в 11:20 |
05.05.2017, 11:12 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
На форуме имеются аналогичные топики, в которых возможно кроется решение вашего вопроса Вирус заархивировал все документы и папки на сервере Вирус кодирует и меняет раширение файлов офиса на сервере. Вирус на сервере. Помогите. Проблема - вирус или его последствия на Сервере(отваливается шара) Проблема на сервере |
05.05.2017, 13:03 | #4 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Стингер ничего не нашел, вот отчет:
McAfee® Labs Stinger™ Version 12.1.0.2355 built on May 4 2017 at 02:07:43 Copyright© 2015, McAfee, Inc. All Rights Reserved. AV Engine version v5900.7806 for Windows. Virus data file v1000.0 created on May 4, 2017 Ready to scan for 10096 viruses, trojans and variants. Scan initiated on пятница, Май 05, 2017 12:00:37 Summary Report on Smart Scan File(s) TotalFiles:............ 2149 Clean:................. 2147 Not Scanned:........... 2 Possibly Infected:..... 0 Time: 00:00:44 Scan completed on пятница, Май 05, 2017 12:01:21 |
05.05.2017, 13:09 | #5 (permalink) |
Banned
Регистрация: 22.12.2015
Сообщений: 1,404
Сказал(а) спасибо: 45
Поблагодарили 10 раз(а) в 4 сообщениях
Репутация: 12622
|
Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
05.05.2017, 13:53 | #6 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Память проверил все чисто, проверяется жесткий диск - еще раз переделал uVS - тех поддержка сказала что второй файл лога uVS тоже битый странно...
|
05.05.2017, 19:26 | #7 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemRoot%\NOTPAD.EXE ;------------------------autoscript--------------------------- delall %SystemRoot%\NOTPAD.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\ONE.VBS apply deltmp delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref E:\3027~1.244\SETUP.EXE delref D:\AUTORUN.EXE ;------------------------------------------------------------- czoo restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
05.05.2017, 19:36 | #8 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
+
добавьте логи из журнала угроз антивируса ESET (если их не получится получить, сделайте лог ESET_log_collector https://download.eset.com/special/lo...lector_rus.exe |
06.05.2017, 16:27 | #9 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
+
добавьте образ автозапуска сделанный актуальной версией uVS 4.0.1, в которой возможно будет заметна активность обработчиков WMI http://chklst.ru/data/uVS%20latest/uvs_latest.zip |
09.05.2017, 20:48 | #10 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Извиняюсь за долгое отсутствие, попробовал сделать скрипт - не вышло. Поэтому остальное делать не стал. Прошу помогите)
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|