10.05.2017, 15:40 | #32 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Cегодня в 11.32 по моему времени)) это через 3 часа после скрипта, установленная программа сделала проверку без моего ведома, кое что нашла, нашел этот отчет случайно, нашла она эти файлы и переместила в карантин.
Отчет: Malwarebytes www.malwarebytes.com -Данные журнала- Дата проверки: 10.05.17 Время проверки: 11:32 Файл журнала: Администратор: Да -Информация о ПО- Версия: 3.0.6.1469 Версия компонентов: 1.0.103 Версия пакета обновления: 1.0.1908 Лицензия: Ознакомительная версия -Информация о системе- ОС: Windows 7 Service Pack 1 Процессор: x64 Файловая система: NTFS Пользователь: System -Отчет о проверке- Тип проверки: Полная проверка Результат: Завершено Проверено объектов: 315150 Затраченное время: 0 мин, 53 с -Настройки проверки- Память: Включено Автозагрузка: Включено Файловая система: Включено Архивы: Включено Руткиты: Включено Эвристика: Включено PUP: Включено PUM: Включено -Данные проверки- Процесс: 0 (Вредоносные программы не обнаружены) Модуль: 0 (Вредоносные программы не обнаружены) Раздел реестра: 2 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}, Помещено в карантин, [453], [396875],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Mysa, Помещено в карантин, [453], [396876],1.0.1908 Значение реестра: 3 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DBFBB4 03-92E8-453F-8E87-5CBCA6C00595}|PATH, Помещено в карантин, [453], [396875],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |START, Помещено в карантин, [453], [396502],1.0.1908 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN |START1, Помещено в карантин, [453], [396503],1.0.1908 Данные реестра: 0 (Вредоносные программы не обнаружены) Поток данных: 0 (Вредоносные программы не обнаружены) Папка: 0 (Вредоносные программы не обнаружены) Файл: 1 Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MYSA, Помещено в карантин, [453], [396877],1.0.1908 Физический сектор: 0 (Вредоносные программы не обнаружены) (end) --------------------------------------------- Дополняю: секунду назад вылезло свежее окошко от eset |
10.05.2017, 16:10 | #35 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
да, файлик что был удален первым скриптом опять восстановлен.
Цитата:
http://virustotal.com |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
10.05.2017, 16:19 | #36 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
если можно, отключите временно мбам, чтобы вся информация по угрозам попадала в образ автозапуска, чтобы можно было увидеть содержимое задач, которые сейчас мбам зачистил.
(но скорее всего там была загрузка вредоносного кода из сети, ее установка и регистрация в regsrv32) антивирусный монитор у вас судя по логам вклюен. AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B} |
10.05.2017, 16:23 | #37 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
+
еще вопрос: эту политику безопасности вы сами создали? Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\L ocal\ipsecPolicy{cb3f028e-8053-49e1-8eb4-e7aff9a7b4fa} замечаю, что и на других серверах в аналогичных темах фигурирует политика безопасности IPSec |
10.05.2017, 16:28 | #38 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
+
можно выполнить такой скрипт с перезагрузкой системы, и понаблюдать за системой. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide %Sys32%\LSASS.EXE ;------------------------autoscript--------------------------- zoo %SystemRoot%\NOTPAD.EXE addsgn BA6F9BB2BD4DB48DF49C2D754C231B95B51A6C66196A8FE8CD4AB198589EF83007078FDE5A7185087EC807737673017179FAD87255DAF8A7557FE11C2335E283 8 notpad 7 chklst delvir apply deltmp delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE ;------------------------------------------------------------- regt 26 restart ---------- |
10.05.2017, 16:32 | #39 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Проверил, один из антивирусов ругнулся на него:
https://www.virustotal.com/ru/file/7...is/1494419172/ Добавляю лог uVS c отключенным MBAM |
10.05.2017, 16:46 | #40 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
По поводу политик - нет все стандартное было. Ничего не создавали.
После выполнения скрипта, Norma CS заработал, общий доступ вернулся, сервер появился в сети. Что делать дальше? боюсь трогать))) |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|