-
Junior Member
- Вес репутации
- 39
вирус на сервере [Trojan-Ransom.Win32.Foreign.jsvp
]
на сервере папки с ярлыками вот такими путями где объект
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" && start /b "" "\\GOLOVA\share\TCPView\Tcpview.exe"
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" && start /b "" "\\GOLOVA\share\WinRar30\wrar30b4.exe"
в сетевых папках.
сервер
windows server 2008 R2 enterprise
хром не открывается.
голова это и есть сервер.
курейт нечего не показывает. Вложение 451743 скрипт стандартный 4.
пока просто удаляю ярлыки и делаю папки не скрытыми, но само тело не могу найти.
до этого на одном компе был запущен файл из скайпа sorry_19567.pdf.exe и владелец ярлыков был он, сейчас владелец администраторы.
читал что авз не правильно работает на серверах это не так?
Последний раз редактировалось TGR3; 14.12.2013 в 12:12.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) TGR3, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 39
Вложение 451748Вложение 451749
все файлы или нет?
некоторые файлы не цепляются, так что в архиве.
-
1) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
2) Сделайте полный образ автозапуска uVS - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.
-
-
Junior Member
- Вес репутации
- 39
второй пункт долго ждать? просто я на него захожу удалено, а как выяснилось он все процессы убивает, без него нельзя не как? а то на нем работают люди.
http://virusinfo.info/virusdetector/...4504C636866AE0
- - - Добавлено - - -
и кстати я эту папку полностью зархивировал в пароль и удалил файлы, так как на моем компе касперский сразу удалял его.
-
Junior Member
- Вес репутации
- 39
удалили сообщения что ли?
http://virusinfo.info/virusdetector/...4504C636866AE0
2) Сделайте полный образ автозапуска uVS - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.
можно его не делать? и вроде в логах все хорошо? как это можно проверить. файлы не появляются, сейчас буду комп изучать источник всего это зла, тему новую делать?
Последний раз редактировалось TGR3; 14.12.2013 в 14:43.
-
Сообщение от
TGR3
можно его не делать? и вроде в логах все хорошо?
нужен контрольный лог, чтобы убедиться что действительно ничего нет.
Сообщение от
TGR3
сейчас буду комп изучать источник всего это зла, тему новую делать?
если другой компьютер, то да для каждого компьютера отдельная тема.
- - - Добавлено - - -
Сообщение от
TGR3
можно его не делать? и вроде в логах все хорошо?
нужен контрольный лог, чтобы убедиться что действительно ничего нет.
Сообщение от
TGR3
сейчас буду комп изучать источник всего это зла, тему новую делать?
если другой компьютер, то да для каждого компьютера отдельная тема.
-
-
Junior Member
- Вес репутации
- 39
гугл хром не работает, и сейчас появились опять ярлыки
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" && start /b "" "\\GOLOVA\share\ProcessExplorer"
exe тоже вроде заражены
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" && start /b "" "\\GOLOVA\share\ProcessExplorer\procexp.exe"
анализ того файла https://www.virustotal.com/ru/file/f...is/1387028468/
и лог последний (полный образ автозапуска uVS )
Последний раз редактировалось TGR3; 14.12.2013 в 17:48.
-
Сообщение от
TGR3
анализ того файла
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим пока не загружайтесь.
-
-
Junior Member
- Вес репутации
- 39
regist,
а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp? просто майкрософтовский антивирус показывал его как backdoor:win32/caphaw.A!lnk и это больше похоже на правду , как раз по общим папкам распростоняеться , а то Trojan-Ransom.Win32.Foreign.jsvp банер просто по описанию. логи будут завтра. заражение других машин возможен? и как остановить заражение всего парка компов?
-
Сообщение от
TGR3
а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp?
где я говорил про этот детект? я как раз считаю, что у вас Backdoor.Win32.Caphaw по классификации ЛК.
Сообщение от
TGR3
заражение других машин возможен?
да, в том числе и через флешку.
-
-
Junior Member
- Вес репутации
- 39
Название темы было сменено я думал это вы завтра будут логи
-
Сообщение от
TGR3
Название темы было сменено
там указан детект файла по класификации ЛК, который вы прислали в карантин . Название меняется автоматически движком форума.
-
-
Junior Member
- Вес репутации
- 39
сейчас пошло раскидывание по компам? может использовать скрипт http://forum.oszone.net/post-2244546.html
по удалению ярлыков, даже можно всех. как считаете?
-
считаю, что нужно сделать логи. До сих пор жду от вас образ автозапуска uVS
Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим после создания образа пока не загружайтесь.
-
-
Junior Member
- Вес репутации
- 39
-
Ничего плохого не видно. Вирусные ярлыки видно создаются с другого заражённого в сети компьютера.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 39
вот лог
др.веб в безопасном режиме показ вот что.
и еще вот HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
до перезагрузки генерировался строка и файл был rmactivate.exe вроде так, иногода менял папку куда будет идти.
Последний раз редактировалось TGR3; 16.12.2013 в 18:40.
-
Сделайте на всякий случай ещё такой лог
Сделайте образ автозапуска uVS с Live CD
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \lyfanrrez.vczz - Trojan-Ransom.Win32.Foreign.jsvp
-