Добрый день! Имеется небольшой сервер на Windows Server 2003, на нем 1С 7.7 и общие ресурсы, а также десяток клиентов удаленного рабочего стола.
Периодически шифруются файлы различными версиями шифровальщиков, а также периодически загруженность процессора 100%.
Спасают бэкапы от акрониса.
Установка антивируса решает проблему лишь частично, при входе в систему исполняются bat файлы. После чистки вручную, MBAM, Spyhunter, NOD32, после перезагрузки все вирусы на месте.
Прикладываю лог. Если есть возможность помогите убить зловредов.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Postaposhka, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все браузеры, отключите до перезагрузки антивирус, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Перезагрузите сервер.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Установите сервис-пак 2 (SP2) к Windows Server 2003 и все последующие обновления, хотя бы критические.
Установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
Смените пароли на учётки с администраторскими правами, у кого они были не по делу - надо отобрать права администратора.
Обновите Microsoft SQL Server 2005 до SP4. В нём также менять пароли, взлом через дыры SQL-сервера - классика жанра.
Включите и настройте системный брандмауэр так, чтобы доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Включите и настройте создание теневых копий для системы и общих папок.
На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера.