Вирус на сервере - Страница 5

safety · 10.05.2017, 16:51

теперь можно выполнить скрипт в uVS,

.........
и затем выполнить очистку в FRST

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

Task: {735DB3C2-56DC-4489-B627-CA18603FEB62} - \Runtime -> No File <==== ATTENTION
2017-05-10 09:51 - 2017-05-10 09:51 - 01332324 _____ C:\windowstmp02.exe
2017-05-10 09:41 - 2017-05-10 09:41 - 00030721 _____ (Microsoft Corporation) C:\Windows\notpad.exe
EmptyTemp:
Reboot:

и подождем новых событий.
если атака повторится, то опять же дилемма остается: или что-то в системе остается недочищенное, которое через время проявляет себя, или атака идет из внешней сети на систему, используя уязвимости.

---------
если есть такая возможность, то желательно обновить систему, т.е. чтобы были установлены все выпущенные критические обновления.

Wolfil14 · 10.05.2017, 16:58

Цитата:

Сообщение от safety

теперь можно выполнить скрипт в uVS,

.........
и затем выполнить очистку в FRST

Не совсем понял вот эту часть, последний присланный скрипт я уже выполнил

safety · 10.05.2017, 16:58

последний образ сделан старой версией. 3.87
uVS v3.87 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

safety · 10.05.2017, 16:59

Цитата:

Сообщение от Wolfil14

Не совсем понял вот эту часть, последний присланный скрипт я уже выполнил

да, раз скрипт в uVS выполнен уже, теперь выполните только скрипт в FRST
(просто мой ответ был написан, когда вашего ответа я еще не видел.)
----------
все новые образы в uVS нужны из под версии 4.0.2

Wolfil14 · 10.05.2017, 17:03

Все выполнил, перезагрузил.

Дополняю. Нашел в списке пользователей - двух новых, я их не создавал. Два часа назад их не было.

Wolfil14 · 10.05.2017, 19:32

Дополняю:

Параллельно общался с тех поддержкой Eset, они посоветовали сделать глубокую проверку выставив особые параметры. Вот письмо от них:

Данная угроза может подгружаться через другие ПК в сети, через шару.
Изалируйте зараженные ПК в сети и запустите полную проверку:
Откройте дополнительные настройки антивируса, выберите "Защита от вирусов". Установите галочки "Включить обнаружение потенциально опасных приложений" и "Включить обнаружение потенциально нежелательных приложений".
Откройте главное окно антивируса, выберите раздел "Сканирование компьютера" - "Выборочное сканирование". В правом верхнем углу нажмите "Настройка", затем выберите подраздел "Очистка" и установите значение "Тщательная очистка". и детальное сканирование.
Запустите сканирование. Сообщите о результатах.

Сделал все как они написали, лог журнала сделал, был найден один вирус. Прикладываю.

safety · 10.05.2017, 20:11

C:\$36OSection\win2.exe = RAR = winlogon.exe - модифицированный Win64/BitCoinMiner.U потенциально опасная программа - удален
-----------
возможно, что есть в локальной сети комп с активным заражением, с которого идет атака в том числе на этот сервер. через открытый порт 445.

Wolfil14 · 10.05.2017, 20:13

проверю завтра все ПК, вышлю файлы отчетов если что найдется, спасибо еще раз)

Vvvyg · 10.05.2017, 21:48

Судя по логу FRST:

Цитата:

Windows Firewall is disabled.

Может, стоит включить?

Wolfil14 · 10.05.2017, 23:30

Цитата:

Сообщение от Vvvyg

Судя по логу FRST:
Цитата:
Windows Firewall is disabled.
Может, стоит включить?

сейчас то уже не в нем дело, но я пробовал тем не менее, он ни на грамм ситуацию не меняет - включен он или выключен.
И очень сомневаюсь, что если бы он работал, что то бы поменялось.

10.05.2017, 16:51	#41 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	теперь можно выполнить скрипт в uVS, ......... и затем выполнить очистку в FRST 6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код: Task: {735DB3C2-56DC-4489-B627-CA18603FEB62} - \Runtime -> No File <==== ATTENTION 2017-05-10 09:51 - 2017-05-10 09:51 - 01332324 _____ C:\windowstmp02.exe 2017-05-10 09:41 - 2017-05-10 09:41 - 00030721 _____ (Microsoft Corporation) C:\Windows\notpad.exe EmptyTemp: Reboot: и подождем новых событий. если атака повторится, то опять же дилемма остается: или что-то в системе остается недочищенное, которое через время проявляет себя, или атака идет из внешней сети на систему, используя уязвимости. --------- если есть такая возможность, то желательно обновить систему, т.е. чтобы были установлены все выпущенные критические обновления.

10.05.2017, 16:58	#43 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	последний образ сделан старой версией. 3.87 uVS v3.87 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

10.05.2017, 20:11	#47 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	C:\$36OSection\win2.exe = RAR = winlogon.exe - модифицированный Win64/BitCoinMiner.U потенциально опасная программа - удален ----------- возможно, что есть в локальной сети комп с активным заражением, с которого идет атака в том числе на этот сервер. через открытый порт 445.

10.05.2017, 20:13	#48 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	проверю завтра все ПК, вышлю файлы отчетов если что найдется, спасибо еще раз)