Вирус на сервере - Страница 3

Wolfil14 · 10.05.2017, 12:16

Не могу найти

И 3 скриншот - ошибка подключения( к серверу пропал доступ по сети, хотя он онлайн

safety · 10.05.2017, 12:37

на втором рисунке надо установить курсор на одну из записей, затем по правой кнопке мыши выбрать функцию экспортировать все. (и указать что в текстовый файл.)

Wolfil14 · 10.05.2017, 12:47

Cделал log

safety · 10.05.2017, 13:02

При сохранении файла укажите другой формат. не xml, а txt

Wolfil14 · 10.05.2017, 13:04

Высылаю
Начал глючить и зависать explorer

safety · 10.05.2017, 13:20

---------
а нет, все ок с кодировкой, прошу прощения.

safety · 10.05.2017, 13:27

да, эти "черти" опять полезли в систему

Цитата:

Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информа ция;Хэш;Первое появление здесь
10.05.2017 9:51:04;Фильтр HTTP;файл;хттп://aaa.super1024.com/b.exe;модифицированный Win32/CoinMiner.AFR троянская программа;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;34719C BA3F4DCD7F97A9DA692078BA797A69B04D;10.05.2017 9:51:02
10.05.2017 9:51:02;Фильтр HTTP;файл;хттп://aaa.super1024.com/b.exe;Blocked Object;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;A7C7CD 355BAFA8C0B6AFD8391E94B2AD74B6AA3E;10.05.2017 9:51:02
10.05.2017 8:13:42;Фильтр HTTP;файл;хттп://50.78.143.2:8181/solo/mupd.exe;модифицированный Win32/Farfli.ARM троянская программа;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\spoolsv.exe (3ECAE0D7DE04F08E911FD6041386907C9B9291D8).;2D229A 324119D387680D4D2DC54F884DD222A1F4;
08.05.2017 4:01:49;Фильтр HTTP;файл;хттп://103.59.145.29/Winsafe.exe;Blocked Object;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;228C18 35FA89F60F0A6972C80EBFEE91F172D5A2;
07.05.2017 20:11:04;Фильтр HTTP;файл;хттп://47.88.216.68:8888/test.dat;модифицированный Win32/Packed.NoobyProtect.L подозрительное приложение;соединение прервано;NT AUTHORITY\система;Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A).;2B10FC 7EBAD4EB93D1A907CC6F5211BE6CF73D5E;07.05.2017 20:08:57

вопрос только:
по времени эти записи после скрипта уже сделаны или до скрипта?

Wolfil14 · 10.05.2017, 13:49

Ну смотрите, я проверку сделал в 8.30 примерно.
Получается 50/50

Wolfil14 · 10.05.2017, 14:02

Цитата:

Сообщение от Wolfil14

P.S.
в корне диска С снова появился файл странный:
windowstmp02.exe размером 1,3 Мб
Файл создан в 9.45 сегодня, скрипт делал в 8.40.

Я писал сегодня про это уже как раз перед началом всего этого

safety · 10.05.2017, 14:37

добавьте еще раз новые логи FRST
Как создать логи FRST

+
новый образ автозапуска в uVS

10.05.2017, 12:16	#21 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Не могу найти И 3 скриншот - ошибка подключения( к серверу пропал доступ по сети, хотя он онлайн Миниатюры

10.05.2017, 13:20	#26 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	--------- а нет, все ок с кодировкой, прошу прощения. Миниатюры

10.05.2017, 12:37	#22 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	на втором рисунке надо установить курсор на одну из записей, затем по правой кнопке мыши выбрать функцию экспортировать все. (и указать что в текстовый файл.)

10.05.2017, 13:02	#24 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	При сохранении файла укажите другой формат. не xml, а txt

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

10.05.2017, 13:49	#28 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Ну смотрите, я проверку сделал в 8.30 примерно. Получается 50/50

10.05.2017, 14:37	#30 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	добавьте еще раз новые логи FRST Как создать логи FRST + новый образ автозапуска в uVS