Вирус на сервере - Страница 7

safety · 11.05.2017, 20:39

эти файлы зачем в системе?

Цитата:

Полное имя C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\R OAMING\MICROSOFT\SYSLOG\TENIODL_CORE.DLL
Имя файла TENIODL_CORE.DLL
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

www.virustotal.com 2017-05-11
Symantec Trojan.Gen.8!cloud
BitDefender Trojan.GenericKD.4742763

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id 58D51645DF1B2
Linker 10.0
Размер 428032 байт
Создан 11.05.2017 в 16:26:31
Изменен 11.05.2017 в 16:26:31
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ

TimeStamp 24.03.2017 в 12:51:17
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя TENIODL_CORE.DLL
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 1DA6516A9563540887384D63DF499DDE3B9D2B63
MD5 36B72ABBDE07B9FC3D3B3C9A1DCEF865

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

и

Цитата:

Полное имя C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\R OAMING\MICROSOFT\SYSLOG\USERLOGON.EXE
Имя файла USERLOGON.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске

Удовлетворяет критериям
SIGN.LIST (ЦИФР. ПОДПИСЬ ~ TENCENT TECHNOLOGY)(1) OR (ЦИФР. ПОДПИСЬ ~ TENCENT TECHNOLOGY)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ сервис в автозапуске
File_Id 534D0C5D7000
Linker 9.0
Размер 25144 байт
Создан 11.05.2017 в 16:26:31
Изменен 11.05.2017 в 16:26:31
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ

TimeStamp 15.04.2014 в 10:39:25
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Tencent Technology(Shenzhen) Company Limited

Оригинальное имя TenioDL.exe
Версия файла 2, 0, 11, 3
Описание Tencent TenioDL for Game
Производитель Tencent

Доп. информация на момент обновления списка
SHA1 FD73875D0A6A20DDA1404053D245F210DD398C8F
MD5 20B8AD7F38BB0C6FB9CBA1F4AAD9BB3D

Ссылки на объект
Ссылка HKLM\uvs_system\ControlSet001\Services\wudfsvcs\Im agePath
ImagePath C:\Windows\system32\config\systemprofile\AppData\R oaming\Microsoft\syslog\userlogon.exe
wudfsvcs тип запуска: Авто (2)
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

Wolfil14 · 11.05.2017, 21:24

Сложно сказать, думаю вам виднее тут будет)

Wolfil14 · 11.05.2017, 22:49

Жду вашего совета что делать, сегодня после того как второй раз применил ваш скрипт целый день полет нормальный, никто на вирусы не ругался, сервер работал, виден был в сети, normaCS работала.
Сегодня с флешки запустил на проверку Kaspersky virus removal tool, ничего не нашла.
Думаю завтра еще проверку Dr web cure it запущу завтра, почему то отказалась запускаться с флешки.
Пока думаю оставить так не недельку, ну или пока работает, а там посмотрю.
Что думаете?)

safety · 12.05.2017, 04:47

думаю, примерно так.

выполните в uVS из под winpe скрипт из файла.
файл добавлен во вложение.

script001.txt

после выполнения скрипта перегрузите систему в нормальный режим,
и понаблюдайте за ее работой.

дополнительно сканирование в Cureit не помешает.

safety · 12.05.2017, 06:25

Цитата:

Сообщение от Wolfil14

http://www.tehnari.ru/attachments/f1...-niei123ie.png

эти учетки, скорее всего связаны с атакой. Если вы их не создавали, то лучше удалить эти учетки из системы.

safety · 12.05.2017, 06:37

+
сделайте таки логи в autoruns
https://technet.microsoft.com/ru-ru/.../bb963902.aspx

Wolfil14 · 12.05.2017, 09:37

Лог Autoruns cделал, надеюсь правильно)
кстати говоря, посмотрел это файл, там выделено красным три ветки реестра относящиеся к Outlook. Outlook на сервере есть, входит в пакет Office 2007, но мне кажется даже ни разу не запускался.

Учетки удалил.

Cейчас займусь скриптом.

safety · 12.05.2017, 10:01

Цитата:

Сообщение от Wolfil14

Лог Autoruns cделал, надеюсь правильно)

надо сохранить файл из autoruns в формате *.arn.

Wolfil14 · 12.05.2017, 10:05

Исправил, ссылку прилагаю

Скрипт сделал, полет нормальный, но мне кажется сервер подтормаживает

safety · 12.05.2017, 10:57

судя по логу autoruns в системе есть след скрипта, который может быть выполнен обработчиками WMI

+
сделайте новый образ автозапуска в uVS, но только актуальной версией uVS. 4.0.2

+
вот этот скрипт интересует:
его можно извлечь через autoruns
(двойное нажатие мыши для копирования скрипта)

11.05.2017, 21:24	#62 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Сложно сказать, думаю вам виднее тут будет)

11.05.2017, 22:49	#63 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Жду вашего совета что делать, сегодня после того как второй раз применил ваш скрипт целый день полет нормальный, никто на вирусы не ругался, сервер работал, виден был в сети, normaCS работала. Сегодня с флешки запустил на проверку Kaspersky virus removal tool, ничего не нашла. Думаю завтра еще проверку Dr web cure it запущу завтра, почему то отказалась запускаться с флешки. Пока думаю оставить так не недельку, ну или пока работает, а там посмотрю. Что думаете?)

12.05.2017, 04:47	#64 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	думаю, примерно так. выполните в uVS из под winpe скрипт из файла. файл добавлен во вложение. script001.txt после выполнения скрипта перегрузите систему в нормальный режим, и понаблюдайте за ее работой. дополнительно сканирование в Cureit не помешает.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

12.05.2017, 06:37	#66 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	+ сделайте таки логи в autoruns https://technet.microsoft.com/ru-ru/.../bb963902.aspx

12.05.2017, 10:57	#70 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	судя по логу autoruns в системе есть след скрипта, который может быть выполнен обработчиками WMI + сделайте новый образ автозапуска в uVS, но только актуальной версией uVS. 4.0.2 + вот этот скрипт интересует: его можно извлечь через autoruns (двойное нажатие мыши для копирования скрипта)