Несколько раз в день NOD32 ловит файлы hexserver.exe (Win32/IRCBot.FNRXFZK) и файлы Tmp.tmp(Win32/Farfli.HF)

Вложений: 3

Windows Server 2003 без домена, используется в качестве файлового сервера, на котором
установлен sql2005 и 1с. Пользователи подключаются по rdp. Несколько раз в день антивирус находит hexserver.exe в папках C:\WINDOWS\system32, C:\Documents and Settings, C:\RECYCLER и множество файлов с расширением tmp на логическом диске с файлом подкачки. Согласно журналу, в то же самое время происходит попытка подбора пароля на sql для пользователя sa. На роутере, через который сервер выходит в инет, включен виртуальный сервер (порты 3389 для rdp и 1433 для прямого доступа sql). Также, в разделе пользователи появляются учетки с именами administrator, debugger или просто с набором символов. Иногда они входят по rdp на сервер.

Уважаемый(ая) [B]B1oNd[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msapps\msinfo\logon.scr','');
DelCLSID('{E13D16CC-045B-5570-593D-2FF854FA8FAE}');
QuarantineFile('E:\Garant-Server\apps\winNT\F1ServerMng.exe','');
QuarantineFile('C:\Windupdt\svchosts.exe','');
QuarantineFile('C:\WINDOWS\Reg.dll','');
QuarantineFile('C:\WINDOWS\Microsoft\Protect\H-T-7-22\svchost.exe','');
QuarantineFile('C:\WINDOWS:java.exe','');
QuarantineFile('C:\Program Files\Outlook Express\201174807.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011748030.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011748019.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117475957.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117475946.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117475935.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117475931.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117475930.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011741233.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412313.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412252.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412241.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412230.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412219.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412216.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117412214.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117317238.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201173172354.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201173172340.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117317234.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201173172330.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201173172318.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117221118.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172211054.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172211044.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172211032.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172211022.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172211018.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162412.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117216241.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162350.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162340.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162329.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162318.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162317.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201172162316.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011720455.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117204454.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117204443.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117204440.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\20117204439.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201163017308.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011630172957.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011630172946.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011630172942.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011630172941.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011630172940.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201162915165.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\201162915164.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011629151634.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011629151622.tmp','');
QuarantineFile('C:\Program Files\Outlook Express\2011629151610.tmp','');
QuarantineFile('C:\Documents and Settings\All Users\DRM\Console\dbssp.cc3','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\qdtnq.cc3','');
QuarantineFile('C:\WINDOWS\system32\lfoljv.exe','');
DeleteService('tomcats6');
QuarantineFile('C:\WINDOWS\system32\bkrfsy.exe','');
DeleteService('Distribubju');
QuarantineFile('C:\windows\mui\svchost.exe','');
DeleteService('bthserv');
DeleteFile('C:\windows\mui\svchost.exe');
DeleteFile('C:\WINDOWS\system32\bkrfsy.exe');
DeleteFile('C:\WINDOWS\system32\lfoljv.exe');
DeleteFile('C:\Program Files\Outlook Express\2011629151610.tmp');
DeleteFile('C:\Program Files\Outlook Express\2011629151622.tmp');
DeleteFile('C:\Program Files\Outlook Express\2011629151634.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x3\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x2\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201162915164.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x0\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201162915165.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x1\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011630172940.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x5\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011630172941.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x6\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011630172942.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x7\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011630172946.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x8\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011630172957.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x9\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201163017308.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x10\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117204439.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x11\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117204440.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x12\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x13\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117204443.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x14\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117204454.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x15\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011720455.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x16\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162316.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x17\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x18\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162317.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x19\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162318.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x20\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162329.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x21\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162340.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x22\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162350.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x23\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117216241.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x24\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172162412.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x25\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172211018.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x26\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x27\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172211022.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x28\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172211032.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x29\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172211044.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x30\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201172211054.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x31\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117221118.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x32\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201173172318.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x36\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201173172330.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x37\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117317234.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x33\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x34\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201173172340.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x38\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201173172354.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x39\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117317238.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x35\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412214.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x49\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412216.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x50\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x51\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412219.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x52\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412230.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x53\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412241.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x54\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412252.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x55\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117412313.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x57\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011741233.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x56\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117475930.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x40\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x41\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117475931.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x42\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117475935.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x43\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117475946.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x44\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\20117475957.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x45\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011748019.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x47\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\2011748030.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x48\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Outlook Express\201174807.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x46\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS:java.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','JAVA');
DeleteFile('C:\WINDOWS\Microsoft\Protect\H-T-7-22\svchost.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
DeleteFile('C:\Windupdt\svchosts.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','java');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','java');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end. [/code]Компьютер перезагрузите вручную

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Вложений: 3

Возможно дело в большом размере архива с карантином (700 мб), но файл не заливается на вирусинфо и постоянно выдает ошибку после некоторого времени ожидания. Кстати, после выполнения скрипта и перезагрузки в консоли управления компьютером из раздела [B]локальные пользователи[/B], пропали все учетные записи, при том они видны в разделе [B]группы[/B]?!

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

При запуске combofix, выдается сообщение, что программа не поддерживает серверные платформы.
ps: Добавил новые логи avz в предыдущий пост.

Ах, да, не работает на серверах

C:\WINDOWS\msapps\msinfo\logon.scr запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Вложений: 1

...

логи авз повторите

Вложений: 2

...

Как только закрываю порт 1434, проблема исчезает, но он необходим в работе.

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]