Показано с 1 по 20 из 20.

вирус на сервере [Trojan-Ransom.Win32.Foreign.jsvp ] (заявка № 151529)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39

    вирус на сервере [Trojan-Ransom.Win32.Foreign.jsvp ]

    на сервере папки с ярлыками вот такими путями где объект
    C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" && start /b "" "\\GOLOVA\share\TCPView\Tcpview.exe"


    C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.V Czz" && start /b "" "\\GOLOVA\share\WinRar30\wrar30b4.exe"

    в сетевых папках.
    сервер
    windows server 2008 R2 enterprise
    хром не открывается.
    голова это и есть сервер.
    курейт нечего не показывает. Вложение 451743 скрипт стандартный 4.
    пока просто удаляю ярлыки и делаю папки не скрытыми, но само тело не могу найти.
    до этого на одном компе был запущен файл из скайпа sorry_19567.pdf.exe и владелец ярлыков был он, сейчас владелец администраторы.

    читал что авз не правильно работает на серверах это не так?
    Последний раз редактировалось TGR3; 14.12.2013 в 12:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) TGR3, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    Вложение 451748Вложение 451749

    все файлы или нет?

    некоторые файлы не цепляются, так что в архиве.

  6. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

    2) Сделайте полный образ автозапуска uVS - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.

  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    второй пункт долго ждать? просто я на него захожу удалено, а как выяснилось он все процессы убивает, без него нельзя не как? а то на нем работают люди.



    http://virusinfo.info/virusdetector/...4504C636866AE0

    - - - Добавлено - - -

    и кстати я эту папку полностью зархивировал в пароль и удалил файлы, так как на моем компе касперский сразу удалял его.

  9. #6
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    удалили сообщения что ли?

    http://virusinfo.info/virusdetector/...4504C636866AE0


    2) Сделайте полный образ автозапуска uVS - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.

    можно его не делать? и вроде в логах все хорошо? как это можно проверить. файлы не появляются, сейчас буду комп изучать источник всего это зла, тему новую делать?
    Последний раз редактировалось TGR3; 14.12.2013 в 14:43.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от TGR3 Посмотреть сообщение
    можно его не делать? и вроде в логах все хорошо?
    нужен контрольный лог, чтобы убедиться что действительно ничего нет.
    Цитата Сообщение от TGR3 Посмотреть сообщение
    сейчас буду комп изучать источник всего это зла, тему новую делать?
    если другой компьютер, то да для каждого компьютера отдельная тема.

    - - - Добавлено - - -

    Цитата Сообщение от TGR3 Посмотреть сообщение
    можно его не делать? и вроде в логах все хорошо?
    нужен контрольный лог, чтобы убедиться что действительно ничего нет.
    Цитата Сообщение от TGR3 Посмотреть сообщение
    сейчас буду комп изучать источник всего это зла, тему новую делать?
    если другой компьютер, то да для каждого компьютера отдельная тема.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    гугл хром не работает, и сейчас появились опять ярлыки
    C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" && start /b "" "\\GOLOVA\share\ProcessExplorer"


    exe тоже вроде заражены
    C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VC zz" && start /b "" "\\GOLOVA\share\ProcessExplorer\procexp.exe"

    анализ того файла https://www.virustotal.com/ru/file/f...is/1387028468/


    и лог последний (полный образ автозапуска uVS )
    Последний раз редактировалось TGR3; 14.12.2013 в 17:48.

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от TGR3 Посмотреть сообщение
    анализ того файла
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим пока не загружайтесь.

  14. #10
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    regist,
    а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp? просто майкрософтовский антивирус показывал его как backdoor:win32/caphaw.A!lnk и это больше похоже на правду , как раз по общим папкам распростоняеться , а то Trojan-Ransom.Win32.Foreign.jsvp банер просто по описанию. логи будут завтра. заражение других машин возможен? и как остановить заражение всего парка компов?

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от TGR3 Посмотреть сообщение
    а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp?
    где я говорил про этот детект? я как раз считаю, что у вас Backdoor.Win32.Caphaw по классификации ЛК.
    Цитата Сообщение от TGR3 Посмотреть сообщение
    заражение других машин возможен?
    да, в том числе и через флешку.

  16. #12
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    Название темы было сменено я думал это вы завтра будут логи

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от TGR3 Посмотреть сообщение
    Название темы было сменено
    там указан детект файла по класификации ЛК, который вы прислали в карантин . Название меняется автоматически движком форума.

  18. #14
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    сейчас пошло раскидывание по компам? может использовать скрипт http://forum.oszone.net/post-2244546.html
    по удалению ярлыков, даже можно всех. как считаете?

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    считаю, что нужно сделать логи. До сих пор жду от вас образ автозапуска uVS
    Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим после создания образа пока не загружайтесь.

  20. #16
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    вот он

  21. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Ничего плохого не видно. Вирусные ярлыки видно создаются с другого заражённого в сети компьютера.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  22. #18
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    66
    Вес репутации
    39
    вот лог


    др.веб в безопасном режиме показ вот что.

    и еще вот HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    до перезагрузки генерировался строка и файл был rmactivate.exe вроде так, иногода менял папку куда будет идти.
    Последний раз редактировалось TGR3; 16.12.2013 в 18:40.

  23. #19

  24. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \lyfanrrez.vczz - Trojan-Ransom.Win32.Foreign.jsvp


  • Уважаемый(ая) TGR3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус на сервере. Помогите.
      От sergeyms в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2012, 22:21
    2. вирус на сервере
      От rotebarex в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 08.09.2010, 22:16
    3. Вирус на сервере
      От qwezxc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.03.2010, 21:37
    4. Вирус на сервере
      От jener в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:01
    5. Вирус на сервере
      От sparrow в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.07.2008, 10:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01198 seconds with 19 queries