Неизвестные процессы TMMT тормозят работу сервера win 2008R2 после лечения вируса wasppacer
Доброго времени суток уважаемые хелперы, обращаюсь к вам за помощью по следующему поводу:
Вчера на сервере WIN2088r2 x64 eset file server обнаружил несколько вредоносных файлов wasppacer и waagent, при этом сервер подтормаживал. Я нодом все это полечил, поменял админские пароли, но заметил несколько процессов ранее мне не знакомых (tmmt32.exe, tmmt64.exe, tmmt.exe) запущенных под системой, попробовал пристрелить, появляются снова. Нод больше ничего не находит, а тормоза остались и процессы тоже. Помогите пожалуйста, мне кажется это зараза какаято.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ExecutorSet, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
Вообще, программа, что болталась - MIPKO Terminal Monitor. Может, кто-то из админов установил, не согласовав с другими? Там в комлекте ещё и кейлоггер идёт, так что штука, в принципе полезная, но надо знать, чья Созданы файлы 06.03.2015 19:54:49 - разбирайтесь, кто установил.
Смотрите в папке C:\Users\Все пользователи\mtml\MIPKO Terminal Monitor - там ярлыки и файлы ещё остались, возможно, по их владельцу определите, что за пользователь установил.
Тормоза ушли! Спасибо огромное за помощь, скорее всего взломали пароль к рдп администратора
Вам пора курсы какие-нибудь создавать для начинающих админов. Обязательно поддержу ваш проект
Последний раз редактировалось ExecutorSet; 12.03.2015 в 16:59.
Меры против взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP) - если есть такая возможность.
5. Установить все важные обновления безопасности на систему.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: