Вирус на сервере - Страница 4

Wolfil14 · 10.05.2017, 15:20

Все сделал

Wolfil14 · 10.05.2017, 15:40

Cегодня в 11.32 по моему времени)) это через 3 часа после скрипта, установленная программа сделала проверку без моего ведома, кое что нашла, нашел этот отчет случайно, нашла она эти файлы и переместила в карантин.

Отчет:

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 10.05.17
Время проверки: 11:32
Файл журнала:
Администратор: Да

-Информация о ПО-
Версия: 3.0.6.1469
Версия компонентов: 1.0.103
Версия пакета обновления: 1.0.1908
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: System

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 315150
Затраченное время: 0 мин, 53 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Включено
PUM: Включено

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 2
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}, Помещено в карантин, [453], [396875],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa, Помещено в карантин, [453], [396876],1.0.1908

Значение реестра: 3
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}|PATH, Помещено в карантин, [453], [396875],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |START, Помещено в карантин, [453], [396502],1.0.1908
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |START1, Помещено в карантин, [453], [396503],1.0.1908

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 1
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MYSA, Помещено в карантин, [453], [396877],1.0.1908

Физический сектор: 0
(Вредоносные программы не обнаружены)

(end)

---------------------------------------------

Дополняю:
секунду назад вылезло свежее окошко от eset

safety · 10.05.2017, 16:02

хорошо, я проанализирую логи, возможно найдется причина всех этих атак.

Wolfil14 · 10.05.2017, 16:09

Спасибо, буду ждать

safety · 10.05.2017, 16:10

да, файлик что был удален первым скриптом опять восстановлен.

Цитата:

Полное имя C:\WINDOWS\NOTPAD.EXE
Имя файла NOTPAD.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура notpad (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-05-10

www.virustotal.com Хэш НЕ найден на сервере.

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 56EB232DC000
Linker 9.0
Размер 30721 байт
Создан 10.05.2017 в 09:41:27
Изменен 10.05.2017 в 09:41:27

TimeStamp 17.03.2016 в 21:35:41
EntryPoint +
OS Version 0.1
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя lsass.exe
Версия файла 6.1.7601.23392 (win7sp1_ldr.160317-0600)
Описание Local Security Authority Process
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 22A38CA169CCCF59C123CF074D757CB517CB167E
MD5 386751C606B0AD0F2F5CC53F75867C52

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Client
Client C:\Windows\notpad.exe
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

проверьте его детект на ВирусТотал
http://virustotal.com

safety · 10.05.2017, 16:19

если можно, отключите временно мбам, чтобы вся информация по угрозам попадала в образ автозапуска, чтобы можно было увидеть содержимое задач, которые сейчас мбам зачистил.
(но скорее всего там была загрузка вредоносного кода из сети, ее установка и регистрация в regsrv32)

антивирусный монитор у вас судя по логам вклюен.
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

safety · 10.05.2017, 16:23

+
еще вопрос:
эту политику безопасности вы сами создали?
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\L ocal\ipsecPolicy{cb3f028e-8053-49e1-8eb4-e7aff9a7b4fa}

замечаю, что и на других серверах в аналогичных темах фигурирует политика безопасности IPSec

safety · 10.05.2017, 16:28

+
можно выполнить такой скрипт с перезагрузкой системы, и понаблюдать за системой.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\LSASS.EXE
;------------------------autoscript---------------------------

zoo %SystemRoot%\NOTPAD.EXE
addsgn BA6F9BB2BD4DB48DF49C2D754C231B95B51A6C66196A8FE8CD4AB198589EF83007078FDE5A7185087EC807737673017179FAD87255DAF8A7557FE11C2335E283 8 notpad 7

chklst
delvir

apply

deltmp
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

regt 26
restart

перезагрузка, пишем о старых и новых проблемах.
----------

Wolfil14 · 10.05.2017, 16:32

Проверил, один из антивирусов ругнулся на него:
https://www.virustotal.com/ru/file/7...is/1494419172/
Добавляю лог uVS c отключенным MBAM

Wolfil14 · 10.05.2017, 16:46

По поводу политик - нет все стандартное было. Ничего не создавали.

После выполнения скрипта, Norma CS заработал, общий доступ вернулся, сервер появился в сети.
Что делать дальше? боюсь трогать)))

10.05.2017, 15:40	#32 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Cегодня в 11.32 по моему времени)) это через 3 часа после скрипта, установленная программа сделала проверку без моего ведома, кое что нашла, нашел этот отчет случайно, нашла она эти файлы и переместила в карантин. Отчет: Malwarebytes www.malwarebytes.com -Данные журнала- Дата проверки: 10.05.17 Время проверки: 11:32 Файл журнала: Администратор: Да -Информация о ПО- Версия: 3.0.6.1469 Версия компонентов: 1.0.103 Версия пакета обновления: 1.0.1908 Лицензия: Ознакомительная версия -Информация о системе- ОС: Windows 7 Service Pack 1 Процессор: x64 Файловая система: NTFS Пользователь: System -Отчет о проверке- Тип проверки: Полная проверка Результат: Завершено Проверено объектов: 315150 Затраченное время: 0 мин, 53 с -Настройки проверки- Память: Включено Автозагрузка: Включено Файловая система: Включено Архивы: Включено Руткиты: Включено Эвристика: Включено PUP: Включено PUM: Включено -Данные проверки- Процесс: 0 (Вредоносные программы не обнаружены) Модуль: 0 (Вредоносные программы не обнаружены) Раздел реестра: 2 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}, Помещено в карантин, [453], [396875],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa, Помещено в карантин, [453], [396876],1.0.1908 Значение реестра: 3 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}\|PATH, Помещено в карантин, [453], [396875],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN \|START, Помещено в карантин, [453], [396502],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN \|START1, Помещено в карантин, [453], [396503],1.0.1908 Данные реестра: 0 (Вредоносные программы не обнаружены) Поток данных: 0 (Вредоносные программы не обнаружены) Папка: 0 (Вредоносные программы не обнаружены) Файл: 1 Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MYSA, Помещено в карантин, [453], [396877],1.0.1908 Физический сектор: 0 (Вредоносные программы не обнаружены) (end) --------------------------------------------- Дополняю: секунду назад вылезло свежее окошко от eset Миниатюры

10.05.2017, 16:28	#38 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	+ можно выполнить такой скрипт с перезагрузкой системы, и понаблюдать за системой. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide %Sys32%\LSASS.EXE ;------------------------autoscript--------------------------- zoo %SystemRoot%\NOTPAD.EXE addsgn BA6F9BB2BD4DB48DF49C2D754C231B95B51A6C66196A8FE8CD4AB198589EF83007078FDE5A7185087EC807737673017179FAD87255DAF8A7557FE11C2335E283 8 notpad 7 chklst delvir apply deltmp delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE ;------------------------------------------------------------- regt 26 restart перезагрузка, пишем о старых и новых проблемах. ----------

10.05.2017, 16:02	#33 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	хорошо, я проанализирую логи, возможно найдется причина всех этих атак.

10.05.2017, 16:09	#34 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Спасибо, буду ждать

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

10.05.2017, 16:19	#36 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	если можно, отключите временно мбам, чтобы вся информация по угрозам попадала в образ автозапуска, чтобы можно было увидеть содержимое задач, которые сейчас мбам зачистил. (но скорее всего там была загрузка вредоносного кода из сети, ее установка и регистрация в regsrv32) антивирусный монитор у вас судя по логам вклюен. AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

10.05.2017, 16:23	#37 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	+ еще вопрос: эту политику безопасности вы сами создали? Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\L ocal\ipsecPolicy{cb3f028e-8053-49e1-8eb4-e7aff9a7b4fa} замечаю, что и на других серверах в аналогичных темах фигурирует политика безопасности IPSec

10.05.2017, 16:46	#40 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	По поводу политик - нет все стандартное было. Ничего не создавали. После выполнения скрипта, Norma CS заработал, общий доступ вернулся, сервер появился в сети. Что делать дальше? боюсь трогать)))