Добрый день!
Похоже на мой удалённый сервер что-то пробралось, подобрав пароль, выражается это в наличии некоторых посторонних процессов:
h_1457934322_6440279_2b0817b97f.png
Заранее спасибо.
Добрый день!
Похоже на мой удалённый сервер что-то пробралось, подобрав пароль, выражается это в наличии некоторых посторонних процессов:
h_1457934322_6440279_2b0817b97f.png
Заранее спасибо.
Последний раз редактировалось lopatakal; 14.03.2016 в 10:37.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) lopatakal, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin TerminateProcessByName('c:\program files\common files\microsoft shared\system\webisida.browser.exe'); QuarantineFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe',''); DeleteFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true); ExecuteSysClean; end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Всё сделал, прикрепляю файлы.
Выполните скрипт в uVS:Перезагрузите сервер.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE ; C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.MulDrop4.25 [DrWeb] ; C:\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx.A [ESET-NOD32] ; C:\WINDOWS\SYSWOW64\SETH.EXE addsgn 9A24779A55024C720BD4C6A9A78812ED79AAFCF60A3E131085C3C5BCB883514C23B4DF947E55F5492B8084F7460649FA15DFE8725532F20C2D7707370446229B 8 TrojWare.Win32.CoinMiner.IEGT [Comodo] zoo %SystemRoot%\SYSWOW64\SETH.EXE ; C:\WINDOWS\SYSWOW64\MTMONITOR\TMMT.EXE addsgn 9AED570455824D720BD46D723A2C62AF4F3D8D53B64DA12CAE8ED17F79A8B561D1273D673793490FDFC307818E4AF22385DBC2BF45C6BF8511D9A7E6FE7A96A4 8 not-a-virus:Monitor.Win64 [Ikarus] zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT.EXE ; C:\WINDOWS\SYSWOW64\MTMONITOR\TSYNCHOST.EXE addsgn A7679B235D6A4C7261D4C4B12DBDEB569D9257A28912C9F26E3CF67C05BE56667617A7A80E3114698A64FACA469D497A05C7E97DD037B02C2DD6E8539206A973 8 W32.HfsAdware.D93F [Bkav] zoo %SystemRoot%\SYSWOW64\MTMONITOR\TSYNCHOST.EXE ; C:\WINDOWS\SYSWOW64\MTMONITOR\TMMT64.EXE addsgn BA6F9BB2BD8154720B9C2D754C2124FBDA75303AC9A957FB69E38D37892964995917C3EE3F559D49A28566914716A1CB5FDFE83ADE1158FD3277A4ACFAC82C72 8 TMMT64 zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT64.EXE chklst delvir deldir %SystemRoot%\SYSWOW64\MTMONITOR regt 35 czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Случайно дважды скрипт выполнил, поэтому два архива (положив в один) с карантином прикрепил.
Так же прикрепляю логи работы.
Сервер перезагрузили? Новый полный образ автозапуска uVS сделайте, если не влезет во вложения, загрузите на rghost.ru и дайте ссылку в теме.
И карантин не надо было упаковывать дополнительно, как есть нужно было грузить...
WBR,
Vadim
Да, перезагружали.
Два архива не удалось прикрепить в форме отправки карантина, поэтому пришлось их сложить в ещё один.
Вот образ автозапуска:
http://rghost.ru/778cRj47P
Ну, раз уж дважды выполнили скрипт, логично, что и карантин в двойном размере будет с тем же содержимым, ну, ладно уж...
От активной заразы избавились.
Выполните скрипт в UVS:Будет создан новый архив карантина ZOO_... - загрузите по ссылке "Прислать запрошенный карантин".Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c zoo C:\ProgramData\Microsoft\DRM\wa\services.exe delall C:\ProgramData\Microsoft\DRM\wa\services.exe adddir C:\ProgramData\Microsoft\DRM\wa adddir c:\program files\common files\microsoft shared\system czoo crimg
Также будет создан новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку.
WBR,
Vadim
Сделал.
http://rghost.ru/6wD4mp2hQ
Такой скрипт выполните:Загрузите свежий карантин, и всё на этом.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\UP.EXE zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\W7.BAT zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WSS.BAT deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM czoo
WBR,
Vadim
Сделал.
Спасибо большое.
Имейте ввиду, что есть ещё раздел Аудит защищенности персонального компьютера, платный, правда.
Пароли поменяли на сложные, надеюсь?
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Конечно,п ароли теперь что-то вроде 79FvfpPfvsFcnh, хотя до этого тоже был довольно сложный.
MS SQL Server наружу не смотрит? Через него часто ломают. Должен быть последний SP на него установлен, и пароли тоже нетривиальные быть.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) lopatakal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
