Вирус на сервере - Страница 6

Wolfil14 · 11.05.2017, 10:06

Добрый день, вчера-сегодня проверил все компьютеры в сети вышеописанной тщательной проверкой от Eset,
вирусы нашлись на 2 пк из 10 + на сервере, проверил дважды его, до начала проверки всех пк и после проверки всех.
Вирус на сервере был найден до проверки всех ПК.
После ничего не нашел.
Логи прикладываю.

Также опять пропал доступ к расшаренным папкам сервера.
А вот NormaCS на удивление работает.
Я снова запустил последний скрипт uVS и папки стали доступны, посмотрю что будет в дальнейшем.
Проблема теперь еще в том что упираемся во время.
Если сегодня не получится избавиться от вируса, надо делать что то координальное уже. Переустановка виндоус поможет или не факт?)

safety · 11.05.2017, 11:58

1. возможно, обычная перезагрузка системы восстанавливает доступ к шарам.
2. по логам сканирования на других компах: в данном случае они малоинформативны, найдено может быть все что угодно, что и не относится к проблеме вашего сервера.
10.05.2017 16:43:57;Оперативная память;Загрузочный сектор;C:\Загрузочный сектор;C:\;1451545;3;3;Зaвepшeнo
3. по мерам безопасности на сервере.
если есть такая возможность установите все критические обновления по безопасности для серверной системы.
--------

Wolfil14 · 11.05.2017, 12:10

Обновления установлю, что еще посоветуете? Переустанавливать?

set of letters · 11.05.2017, 12:35

Цитата:

Сообщение от Wolfil14

Переустановка виндоус поможет или не факт?)

Не факт. Если заражены другие компы, то что это даст?
То же самое и будет

safety · 11.05.2017, 12:38

судя по последнему логам ELC атаки были:

Цитата:

10.05.2017 12:13:42 HTTP filter file хттп://50.78.143.2:8181/solo/mupd.exe a variant of Win32/Farfli.ARM trojan connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\spoolsv.exe (3ECAE0D7DE04F08E911FD6041386907C9B9291D8). 2D229A324119D387680D4D2DC54F884DD222A1F4
08.05.2017 8:01:49 HTTP filter file хтпп://103.59.145.29/Winsafe.exe Blocked Object connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A). 228C1835FA89F60F0A6972C80EBFEE91F172D5A2
08.05.2017 0:11:04 HTTP filter file хтпп://47.88.216.68:8888/test.dat a variant of Win32/Packed.NoobyProtect.L suspicious application connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A). 2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E

а вот чем они вызваны, пока что трудно сказать. или есть скрытая инфекция в системе (руткит), который периодически создает потоки в легитимных процессах (lsass,spolsv,powershell.exe и другие), или систему пробивает через уязвимости.

в первом случае желательно проверить систему полным сканированием из под загрузочного диска,

или сделать образ автозапуска этой системы из под winpe, если у вас есть физический доступ к этой машине, (а не удаленный).

во втором случае установить все критические обновления для системы.
---------------
+
если есть этот объект в карантине:

Цитата:

28.04.2017 2:14:27 Real-time file system protection file C:\Users\Public\xx.vbs JS/TrojanDownloader.Psyme.NEV trojan cleaned by deleting NT AUTHORITY\система Event occurred on a file modified by the application: C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8). C1AC89420A39C7E570B750CBA878A6E60D6FE868

вышлите, пожалуйста, в архиве, с паролем infected в почту safety@chklst.ru

по переустановке:

если эти меры не помогут, тогда вам решать: надо переустанавливать систему или нет, поскольку это ваша рабочая система.

Wolfil14 · 11.05.2017, 13:15

Цитата:

Сообщение от safety

вышлите, пожалуйста, в архиве, с паролем infected в почту safety@chklst.ru

выслал файл на проверку, пока обновления скачиваю. Загрузка до виндоус делал, еще до того как сюда написал, попробую снова

safety · 11.05.2017, 14:59

если есть такая возможность, сделайте образ автозапуска системы из под winpe
в этой инструкции, как сделать загрузочную флэшку, и откуда можно скачать iso образ загрузочного диска.
Как избавиться от sms-банеров, блокирующих доступ к рабочему столу Windows - Форум технической поддержки ESET NOD32

Wolfil14 · 11.05.2017, 16:12

Все сделал. Только использовал стороннюю сборку с windows 8

safety · 11.05.2017, 17:30

надо вначале в стартовом меню uVS выбрать каталог системы с жесткого диска (т.е. проблемную систему), а затем наживать на "текущий пользователь".

(по умолчанию в стартовом меню стоит текущая система - т.е. система с которой запускается uVS.)

сейчас у вас выполнен добавлен образ автозапуска системы с загрузочного диска
X:\WINDOWS\EXPLORER.EXE

Wolfil14 · 11.05.2017, 19:32

Понял, исправляюсь, кажется получилось.

11.05.2017, 11:58	#52 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	1. возможно, обычная перезагрузка системы восстанавливает доступ к шарам. 2. по логам сканирования на других компах: в данном случае они малоинформативны, найдено может быть все что угодно, что и не относится к проблеме вашего сервера. 10.05.2017 16:43:57;Оперативная память;Загрузочный сектор;C:\Загрузочный сектор;C:\;1451545;3;3;Зaвepшeнo 3. по мерам безопасности на сервере. если есть такая возможность установите все критические обновления по безопасности для серверной системы. --------

11.05.2017, 12:10	#53 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Обновления установлю, что еще посоветуете? Переустанавливать?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

11.05.2017, 14:59	#57 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	если есть такая возможность, сделайте образ автозапуска системы из под winpe в этой инструкции, как сделать загрузочную флэшку, и откуда можно скачать iso образ загрузочного диска. Как избавиться от sms-банеров, блокирующих доступ к рабочему столу Windows - Форум технической поддержки ESET NOD32

11.05.2017, 17:30	#59 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	надо вначале в стартовом меню uVS выбрать каталог системы с жесткого диска (т.е. проблемную систему), а затем наживать на "текущий пользователь". (по умолчанию в стартовом меню стоит текущая система - т.е. система с которой запускается uVS.) сейчас у вас выполнен добавлен образ автозапуска системы с загрузочного диска X:\WINDOWS\EXPLORER.EXE