Запуск множество процессов network service Помогите!!!!!
Запуск множество процессов network service Помогите!!!!!
Уважаемый(ая) parkhat, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin SearchRootkit(true, true); QuarantineFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe',''); QuarantineFile('C:\recycler\hexqq.exe',''); QuarantineFileF('C:\recycler', '*.exe', true,'', 0, 0, '', '', ''); QuarantineFileF('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true,'', 0, 0, '', '', ''); DeleteFile('C:\recycler\hexqq.exe','32'); DeleteFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe','32'); DeleteFileMask('C:\recycler','*.exe',true); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
сделал все по инструкции но процессы таки запускаются что делать дальше?
Полный образ автозапуска uVS где?
- - - Добавлено - - -
Грузят на сервер трояны, пока смените админские пароли.
WBR,
Vadim
полный образ автозагрузок
Выполните не из терминальной, а из консольной сессии на сервере следующее.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.83 BETA 18 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 unload %Sys32%\FTP.EXE del %Sys32%\FTP.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SOGOU.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\SVCHVCST.EXE delref %SystemDrive%\PROGRAMFILES\INTEL\QQUPDATAJZYT.EXE adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5 adddir C:\recycler crimg
Будет создан новый полный образ автозапуска UVS, выложите его в теме.
Последний раз редактировалось Vvvyg; 21.08.2014 в 11:04.
WBR,
Vadim
ругается что текст скрипта содержит ошибки, либо не содержит команд uVS
Поправил, выполняйте.
WBR,
Vadim
один созданный автоматом второй полный еще раз сделал
Остановите и отключите пока автозагрузку Apach и MS SQL Server (сервис поставьте на запуск вручную). Ломают через одного из них. Затем выполните скрипт в UVS:Перезагрузите сервер и последите, что с процессами от network service.Код:;uVS v3.83 BETA 18 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5 deltmp
WBR,
Vadim
отрубил интернет вообще все равно лезут процессы network service
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.83 BETA 18 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5 adddir C:\recycler crimg
Будет создан новый полный образ автозапуска UVS, загрузите на rghost.ru и дайте ссылку в теме.
Последний раз редактировалось Vvvyg; 22.08.2014 в 12:31.
WBR,
Vadim
ругается что текст скрипта содержит ошибки, либо не содержит команд uVS
- - - Добавлено - - -
http://rghost.ru/57603959
- - - Добавлено - - -
скрипт запустил лог новый закачан в ссылке
Прошу прощения, так и копирую опечатку в скрипте.
Выполните скрипт в UVS:и перезагрузите сервер. Новый файл ZOO_*.7Z загрузите в карантин.Код:;uVS v3.83 BETA 19 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS ; C:\RECYCLER\HEXBAIBIAN.DDS addsgn 925277EA156AC1CC0B74514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 64 Trojan:Win32/SystemHijack.gen [MS] zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS zoo %SystemRoot%\MSCORSVW.COM delall %SystemRoot%\MSCORSVW.COM zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS zoo %Sys32%\P.EXE delall %Sys32%\P.EXE zoo %Sys32%\NANSHOU-1.EXE delall %Sys32%\NANSHOU-1.EXE zoo %Sys32%\NANSHOU.EXE delall %Sys32%\NANSHOU.EXE zoo %Sys32%\NANSHOUCS.BAT delall %Sys32%\NANSHOUCS.BAT delall %SystemDrive%\1997.COM delall %Sys32%\IAS\NANSHOU.VBS chklst delvir czoo
Судя по предыдущему образу, сервер от интернета не отключен, Apach и MS SQL работают. Так можно до бесконечности лечить. Перед перезагрузкой хотя бы апач отключите, дырявый он явно, и пароли в нём смените. И в MS SQL на SA поменяйте. Доступ к SQL снаружи нужен? Если нет - закройте файрволом.
Два дырявых компонента, так и будут взламывать постоянно. Про уязвимости самой системы я уже не говорю...
WBR,
Vadim
можете проверить скрипт последний не хочет запускаться
Проверил, работает. Пробуйте в таком виде:Копируете полностью, начиная с ";" ?Код:;uVS v3.83 BETA 19 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS delall %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS zoo %SystemRoot%\MSCORSVW.COM delall %SystemRoot%\MSCORSVW.COM zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS zoo %Sys32%\P.EXE delall %Sys32%\P.EXE zoo %Sys32%\NANSHOU-1.EXE delall %Sys32%\NANSHOU-1.EXE zoo %Sys32%\NANSHOU.EXE delall %Sys32%\NANSHOU.EXE zoo %Sys32%\NANSHOUCS.BAT delall %Sys32%\NANSHOUCS.BAT zoo %SystemDrive%\1997.COM delall %SystemDrive%\1997.COM zoo %Sys32%\IAS\NANSHOU.VBS delall %Sys32%\IAS\NANSHOU.VBS czoo
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 143
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\boot3389.exe - Trojan.Win32.Diztakun.cww ( BitDefender: Generic.Malware.SYBd!CTk.2CDA870C )
- c:\recycler\hexdown.exe - Backdoor.Win32.Farfli.btm ( BitDefender: Gen:Variant.Graftor.136362, AVAST4: Win32:Malware-gen )
- c:\recycler\hexggx.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
- c:\recycler\hexgxx.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
- c:\recycler\hexinfo.exe - Trojan.Win32.Vehidis.apd ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )
- c:\recycler\hexmade32.exe - Backdoor.Win32.Farfli.cgk ( BitDefender: Gen:Variant.Symmi.42609, AVAST4: Win32:Agent-ATRJ [Trj] )
- c:\recycler\hexnnss.exe - Trojan.Win32.Agent.agmuw ( BitDefender: Gen:Variant.Graftor.144559, AVAST4: Win32:Elknot-N [Trj] )
- c:\recycler\hexoffice.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malware-gen )
- c:\recycler\hexsax.exe - Backdoor.Win32.Farfli.crt ( BitDefender: Gen:Variant.Graftor.151311, AVAST4: Win32:Farfli-AH [Trj] )
- c:\recycler\hexsvchost.exe - Backdoor.Win32.Farfli.btm ( BitDefender: Gen:Variant.Graftor.145178, AVAST4: Win32:Agent-ATRM [Trj] )
- c:\recycler\hexsvhost.exe - Backdoor.Win32.Farfli.cgn ( BitDefender: Gen:Variant.Symmi.170, AVAST4: Win32:Malware-gen )
- c:\recycler\stserver.exe - HEUR:Trojan.Win32.Generic ( BitDefender: DeepScan:Generic.Malware.PVPkg.9AE2D38A, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) parkhat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.