Добрый день.
Появились такие процессы.
Win server 2003 x64 sp2.
Помогите побороть.Вложение 495183Вложение 495184Вложение 495182
Добрый день.
Появились такие процессы.
Win server 2003 x64 sp2.
Помогите побороть.Вложение 495183Вложение 495184Вложение 495182
Последний раз редактировалось atataMen; 17.09.2014 в 11:47.
Уважаемый(ая) atataMen, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe'); TerminateProcessByName('c:\intel\web\microsoft\services.exe'); TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe'); QuarantineFile('C:\RECYCLER\Windows\winlogon.exe',''); QuarantineFile('c:\intel\web\microsoft\surfguard.exe',''); QuarantineFile('c:\intel\web\microsoft\services.exe',''); QuarantineFile('c:\intel\web\microsoft\safesurf.exe',''); DeleteFile('c:\intel\web\microsoft\safesurf.exe','32'); DeleteFile('c:\intel\web\microsoft\services.exe','32'); DeleteFile('c:\intel\web\microsoft\surfguard.exe','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\freebl3.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\gkmedias.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\mozalloc.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\mozglue.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\mozjs.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\nss3.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\nssckbi.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\nssdbm3.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\softokn3.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\f\1\xul.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Core.dll','32'); DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Winforms.dll','32'); DeleteFile('C:\RECYCLER\Windows\winlogon.exe','32'); DeleteFileMask('C:\Intel','*',true); DeleteDirectory('C:\Intel'); ExecuteSysClean; end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
карантин выслал, автозагрузка не влезает, весит 627 кб
Удалите старые вложения, либо загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
теперь у терминальных пользователей ошибка при входе "windows не удалось выполнить ваш вход в систему"
- - - - -Добавлено - - - - -
Вложение 495199
Старые вложения - имелись ввиду по предыдущим темам, не по этой. Теперь здесь не понять, с чего всё начиналось.
Скрипт никакие службы системные не трогал, что-то сами меняли в настройках, удаляли?
Ссылку на Universal Virus Sniffer я специально дал, чтобы Вы скачали актуальную версию. Образ сделан в старой бета-версии с ошибками, для дальнейших действий скачайте по моей ссылке.
Выполните скрипт в uVS:и перезагрузите сервер.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c zoo %SystemRoot%\ADFS\CTFMON.EXE delall %SystemRoot%\ADFS\CTFMON.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE delall %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE zoo %SystemDrive%\RECYCLER\WA.VBS delall %SystemDrive%\RECYCLER\WA.VBS zoo %SystemDrive%\RECYCLER\WASPPACER.EXE delall %SystemDrive%\RECYCLER\WASPPACER.EXE zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE delall %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN\GN_REF_CONTROL_2.EXE dirzoo %Sys32%\RAS\WINLOGO zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE deldir %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG deldir %SystemDrive%\INTEL\WEB zoo %SystemRoot%\ADFS\TASKMGR.EXE delall %SystemRoot%\ADFS\TASKMGR.EXE zoo %Sys32%\1031\TN.EXE delall %Sys32%\1031\TN.EXE zoo %Sys32%\1031\X.EXE delall %Sys32%\1031\X.EXE czoo deltmp
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте экспорт журнала событий "Безопасность", загрузите на rghost.ru и дайте ссылку в личном сообщении. Там же укажите внешний ip адрес шлюза, через который выходите в интернет, буду прооверять на вероятность взлома.
- - - - -Добавлено - - - - -
Меры против взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
WBR,
Vadim
You may only post 5 messages every 1440 minutes..... печаль.
в общем в марте-мае 2013 вскрыли на дедик, адрес есть в инете, может поэтому досих пор перебирают.
Меняйте ip, это лучший выход.
Перенесите, если есть возможность, сервисы, которые нужны для доступа извне, на нестандартные порты где-то за 40-50 тысяч. Например, по RDP пусть заходят снаружи на ip:56789 (к примеру). Это, если есть возможность на роутере сделать перенаправление портов.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Апач, надеюсь, ваш крутится на сервере? Или тоже подсажен?
И это C:\PROGRAM FILES (X86)\L'OREAL RUSSIA - ваше?
Выполните скрипт в uVS:Перезагружать сервер не к спеху, можно, как нужда будет.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c delref %SystemDrive%\RECYCLER\WINDOWS\WINLOGON.EXE delref %SystemDrive%\DOCUME~1\MNBESP~1\LOCALS~1\TEMP\UNKIS.VBS delref %SystemRoot%\SYSWOW64\LSASS.EXE deldir %Sys32%\RAS\WINLOGO deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN delref %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\APPLICATION DATA\MAIL.RU\AGENT\MRA\DLL\NEWMRASEARCH.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE
Ещё момент важный. Пользователи, работающие в терминальном режиме, не должны ни в коем случае:
иметь администраторских прав;
устанавливать какие-либо программы на сервере, даже в своём профиле;
выходить в интернет с сервера, пусть делают это со своих компьютеров.
Соответственно, на сервере не должно быть никаких браузеров кроме IE, icq, майлрушных агентов и т. п. Пользователей жёстко ограничить политиками.
WBR,
Vadim
апач мой, лореаль тоже.
после uVS вечно терминальники слетают.
сейчас 2 тонких подключено, поэтому интернет пока используется (знаю что очень опасно, вдалбливаю руководству что необходимы отдельные компы)
Тогда, как будет возможность перегрузить, скрипт выполните.
На момент повторного образа автозапуска левоты в процессах не было.
WBR,
Vadim
автозапуск потом присылать ?
Если будут опять левые процессы, или подозрения. Активного ничего не было уже.
WBR,
Vadim
Вот по этому пути
C:\Documents and Settings\***\Local Settings\Application Data
у некоторых пользователей есть папка Waspace, с 2 файлами, их руками удалять ?
Удалите, и новый полный образ автозапуска для контроля.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Wasppacer.2 )
Уважаемый(ая) atataMen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.