Добрый день.
На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
DRweb и KVP ничего не находят.
Добрый день.
На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
DRweb и KVP ничего не находят.
Уважаемый(ая) Vulgarius, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe'); TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe'); TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt.exe'); QuarantineFile('c:\windows\syswow64\mtmonitor\tmz.dll', ''); QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', ''); QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', ''); QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', ''); DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '32'); DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '32'); DeleteFile('c:\windows\syswow64\mtmonitor\tsynchost.exe', '32'); DeleteFile('c:\windows\syswow64\mtmonitor\tmz.dll', '32'); DeleteService('MainTSyncHost'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого они были не по делу - необходимо отобрать права администратора.
Пробуйте восстановить базы из теневых копий - проверяйте в свойствах папок на вкладке "Предыдущие версии". Но злоумышленники могли и отключить эту возможность.
WBR,
Vadim
Сделал полный образ автозапуска
Выполните скрипт в uVS:Перезагрузите серверКод:;uVS v3.85.20 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c del %Sys32%\DRIVERS\SOLDISK.SYS delref %Sys32%\DRIVERS\SOLDISK.SYS del %Sys32%\DRIVERS\SOLFS.SYS delref %Sys32%\DRIVERS\SOLFS.SYS delall %SystemRoot%\SYSWOW64\MTMONITOR\TMVLT.EXE delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE deldir %SystemRoot%\SYSWOW64\MTMONITOR Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx
В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Я все делаю по инструкции но файл Events.7z весит 1 кб это нормально?
Что-то не так.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Последний раз редактировалось Vulgarius; 30.04.2015 в 10:22.
Не вижу вложения.
WBR,
Vadim
Последний раз редактировалось Vulgarius; 30.04.2015 в 11:18.
Ладно, просто сохраните журналы событий "Приложение", "Безопасность" и "Система" как файлы событий (*.evtx), упакуйте покрепче, и на rghost.
WBR,
Vadim
Последний раз редактировалось Vulgarius; 30.04.2015 в 13:36.
Судя по всему, долбили целенаправленно ещё с середины апреля, видно по множеству попыток неудачного входа по ночам.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установите политиками минимальную длину пароля хотя бы 5 символов, желательно срок действия павроля ограничить месяцем или двумя хотя бы.
Переименуйте стандартную учётную запись администратора, через неё, вероятнее всего и взломали.
Установите все доступные обновления для системы.
Организуйте систему резервного копирования так, чтобы бэкапы не были доступны всем учётным записям на сервере, кроме одной, под которой работает программа резервного копирования.
Базы восстановили в результате? Теневые копии помогли?
WBR,
Vadim
Спасибо за обнаружение дыры.
нет, не восстановили как это сделать?Как восстановить теневые корпии?Как найти пароль?
Спасибо за ответ.
Пароль найти/подобрать нереально.
По теневым копиям я писал в конце сообщения #3.
WBR,
Vadim
у нас она была отключена.
Может есть другой способ?
Теневые копии зачем отключали? Самый простой и при этом встроенный в систему способ восстановить систему и данные...
Видел по журналам, что множество программ восстановления данных перепробовали. Пожалуй, вариантов нет. Резервных копий что, совсем не было?
Урок, надеюсь усвоили, больше помочь нечем.
WBR,
Vadim
Спасибо !!
- - - - -Добавлено - - - - -
а если удалить фаил из архива Его можно будет восстановить?
Нет.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Vulgarius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.