Показано с 1 по 10 из 10.

Неизвестные процессы TMMT тормозят работу сервера win 2008R2 после лечения вируса wasppacer (заявка № 179302)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2015
    Сообщений
    8
    Вес репутации
    34

    Неизвестные процессы TMMT тормозят работу сервера win 2008R2 после лечения вируса wasppacer

    Доброго времени суток уважаемые хелперы, обращаюсь к вам за помощью по следующему поводу:
    Вчера на сервере WIN2088r2 x64 eset file server обнаружил несколько вредоносных файлов wasppacer и waagent, при этом сервер подтормаживал. Я нодом все это полечил, поменял админские пароли, но заметил несколько процессов ранее мне не знакомых (tmmt32.exe, tmmt64.exe, tmmt.exe) запущенных под системой, попробовал пристрелить, появляются снова. Нод больше ничего не находит, а тормоза остались и процессы тоже. Помогите пожалуйста, мне кажется это зараза какаято.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) ExecutorSet, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe');
     TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe');
     TerminateProcessByName('c:\windows\syswow64\mtmonitor\tmmt.exe');
     QuarantineFile('C:\Windows\PreInstall\uddisrw.exe', '');
     QuarantineFile('c:\windows\syswow64\mtmonitor\tmz.dll', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '');
     QuarantineFile('c:\windows\syswow64\mtmonitor\tmmt.exe', '');
     QuarantineFileF('c:\windows\syswow64\mtmonitor', '*', true, '', 0, 0, '', '', '');
     DeleteFile('c:\windows\syswow64\mtmonitor\tmmt.exe', '32');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '32');
     DeleteFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', '32');
     DeleteFile('c:\windows\syswow64\mtmonitor\tmz.dll', '32');
     DeleteFile('C:\Windows\PreInstall\uddisrw.exe', '32');
     DeleteFileMask('c:\windows\syswow64\mtmonitor', '*', true);
     DeleteDirectory('c:\windows\syswow64\mtmonitor');
    ExecuteSysClean;
     ExecuteRepair(9);
    end.
    Перезагрузите сервер.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2015
    Сообщений
    8
    Вес репутации
    34
    Спасибо за помощь, все выполнил
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Похоже, там ещё может быть подсаженый софт.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    11.03.2015
    Сообщений
    8
    Вес репутации
    34
    Вот
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Вообще, программа, что болталась - MIPKO Terminal Monitor. Может, кто-то из админов установил, не согласовав с другими? Там в комлекте ещё и кейлоггер идёт, так что штука, в принципе полезная, но надо знать, чья Созданы файлы 06.03.2015 19:54:49 - разбирайтесь, кто установил.
    Смотрите в папке C:\Users\Все пользователи\mtml\MIPKO Terminal Monitor - там ярлыки и файлы ещё остались, возможно, по их владельцу определите, что за пользователь установил.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    11.03.2015
    Сообщений
    8
    Вес репутации
    34
    Тормоза ушли! Спасибо огромное за помощь, скорее всего взломали пароль к рдп администратора
    Вам пора курсы какие-нибудь создавать для начинающих админов. Обязательно поддержу ваш проект
    Последний раз редактировалось ExecutorSet; 12.03.2015 в 16:59.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Меры против взлома надо принять как организационные, так и технические.

    1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

    2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

    3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP) - если есть такая возможность.

    5. Установить все важные обновления безопасности на систему.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 124
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) ExecutorSet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Процессы safesurf и wasppacer
      От Frankovets в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 07.03.2014, 08:48
    2. Процессы Wasppacer, Waspace, safesurf, securesurf и т.д.
      От Александр Дрёмов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.02.2014, 01:12
    3. Процессы Wasppacer, safesurf
      От Discover в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.09.2013, 19:31
    4. Ответов: 6
      Последнее сообщение: 02.08.2011, 14:40
    5. Ответов: 5
      Последнее сообщение: 25.07.2011, 11:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01320 seconds with 18 queries