Началась проблема на сервере

Printable View

17.11.2013, 21:15
alsad

Началась проблема на сервере

Стоит сервер 2003 ЕЕ R2. на нем вертится 1с в sql. Антивиря нет =(

Разбудули звонком с работы сегодня - нет доступа к базе.

Обратил внимание на кучу exe файлов на Ц. Предварительно скинул их в архив и проверил Дрвебом:

C:\Users\user\Desktop\Archive\Documents - Ok
C:\Users\user\Desktop\Archive\hexServerDS.exe - Ok
C:\Users\user\Desktop\Archive\DOCUMENT - Ok
C:\Users\user\Desktop\Archive\·вЙ±ЛщУР1433 - Ok
C:\Users\user\Desktop\Archive\shServerDS.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\shServerDS.exe - infected
C:\Users\user\Desktop\Archive\xp11.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\xp11.exe - infected
C:\Users\user\Desktop\Archive\xpcsrss.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\xpcsrss.exe - infected
C:\Users\user\Desktop\Archive\xpServerDS.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\xpServerDS.exe - infected
C:\Users\user\Desktop\Archive\xpsvchost.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\xpsvchost.exe - infected
C:\Users\user\Desktop\Archive\zyServerDS.exe - infected with BAT.DownLoader.58
C:\Users\user\Desktop\Archive\zyServerDS.exe - infected
>C:\Users\user\Desktop\Archive\hex11.exe - packed by UPX
>C:\Users\user\Desktop\Archive\22.exe - packed by UPX
C:\Users\user\Desktop\Archive\hex11.exe - infected with DDoS.Rincux.428
C:\Users\user\Desktop\Archive\hex11.exe - infected
C:\Users\user\Desktop\Archive\hexsvchost.exe - infected with Trojan.KeyLogger.21214
C:\Users\user\Desktop\Archive\hexsvchost.exe - infected
C:\Users\user\Desktop\Archive\22.exe - infected with DDoS.Rincux.428
C:\Users\user\Desktop\Archive\22.exe - infected
C:\Users\user\Desktop\Archive\ServerDS.exe - Ok

После стали появляться файлы lpk.dll в папках.
Появилась служба "Vwxyab Defghijk Mnopqrst Vwxy"
Появились новые пользователи в компе и один пользователь в консоли SQL.
Появились 2 задания в планировщике винды и в планировщике SQL.

Вроде все подозрительный файлы снес, задания поудалял. службу убил. Пользователей созданных удалил.

Спустя 10 часов ситуация повторилась.
17.11.2013, 21:17
Info_bot

Уважаемый(ая) [B]alsad[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.11.2013, 23:54
alsad

Не получается прикрепить файл АВЗ

Результат загрузки

Эта страница предназначена только для загрузки подозрительных файлов которые Вас попросили прислать.
Логи нужно прикреплять к сообщениям на форуме.
Спасибо что читаете правила и делаете всё так как Вас попросили, а не как попало.

[b]Info_bot[/b],
18.11.2013, 10:58
mike 1

[URL="http://virusinfo.info/showthread.php?t=121951"][B]Как оформить заявку в разделе "Помогите!"[/B][/URL]
18.11.2013, 13:59
alsad

ща на файлообменник выложу

[url]http://files.mail.ru/2EE2B7E10A904927A73272C2E85FC14A[/url]

virusinfo_syscheck.zip

извиняюсь что так получилось выложить. по другому не проходит. (
18.11.2013, 19:21
mike 1

Где остальные логи?
18.11.2013, 19:38
alsad

[url]http://files.mail.ru/A18E12B13FD145BCAC8D67CB5BCCC699[/url]

HijackThis
19.11.2013, 21:28
mike 1

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ClearQuarantine;
TerminateProcessByName('c:\windows\tasks\csrss.exe');
QuarantineFile('C:\WINDOWS\TEMP\you749B.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\ubu7490.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\tuu749E.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\qxu7480.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\qfu7496.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\qcu7492.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\puu74A0.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\oku7498.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\lvu74A2.tmp','');
QuarantineFile('C:\WINDOWS\TEMP\ldu7494.tmp','');
QuarantineFile('c:\windows\tasks\csrss.exe','');
DeleteFile('C:\WINDOWS\Tasks\csrss.exe','32');
DeleteFile('c:\windows\temp\qxu7480.tmp','32');
DeleteFile('c:\windows\temp\lvu74a2.tmp','32');
DeleteFile('c:\windows\temp\qcu7492.tmp','32');
DeleteFile('c:\windows\temp\qfu7496.tmp','32');
DeleteFile('c:\windows\temp\oku7498.tmp','32');
DeleteFile('c:\windows\temp\you749b.tmp','32');
DeleteFile('c:\windows\temp\ubu7490.tmp','32');
DeleteFile('c:\windows\temp\ldu7494.tmp','32');
DeleteFile('c:\windows\temp\tuu749e.tmp','32');
DeleteFile('c:\windows\temp\puu74a0.tmp','32');
ExecuteSysClean;
ExecuteRepair(9);
end.
[/CODE]

Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])