вирус на сервере [Trojan-Ransom.Win32.Foreign.jsvp ]

Printable View

14.12.2013, 11:20
TGR3

вирус на сервере [Trojan-Ransom.Win32.Foreign.jsvp ]

на сервере папки с ярлыками вот такими путями где объект
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.VCzz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.VCzz" && start /b "" "\\GOLOVA\share\TCPView\Tcpview.exe"

C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.VCzz" start /b "" "\\GOLOVA\share\drivers\video\Filesx32\lyFAnRreZ.VCzz" && start /b "" "\\GOLOVA\share\WinRar30\wrar30b4.exe"

в сетевых папках.
сервер
windows server 2008 R2 enterprise
хром не открывается.
голова это и есть сервер.
курейт нечего не показывает. [ATTACH]451743[/ATTACH] скрипт стандартный 4.
пока просто удаляю ярлыки и делаю папки не скрытыми, но само тело не могу найти.
до этого на одном компе был запущен файл из скайпа sorry_19567.pdf.exe и владелец ярлыков был он, сейчас владелец администраторы.

читал что авз не правильно работает на серверах это не так?
14.12.2013, 11:21
Info_bot

Уважаемый(ая) [B]TGR3[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.12.2013, 12:14
TGR3

[ATTACH]451748[/ATTACH][ATTACH]451749[/ATTACH]

все файлы или нет?

некоторые файлы не цепляются, так что в архиве.
14.12.2013, 12:30
regist

1) - Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.

2) [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url] - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.
14.12.2013, 13:32
TGR3

второй пункт долго ждать? просто я на него захожу удалено, а как выяснилось он все процессы убивает, без него нельзя не как? а то на нем работают люди.

[url]http://virusinfo.info/virusdetector/report.php?md5=7C8C13BF04371E32DA4504C636866AE0[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

и кстати я эту папку полностью зархивировал в пароль и удалил файлы, так как на моем компе касперский сразу удалял его.
14.12.2013, 13:39
TGR3

удалили сообщения что ли?

[url]http://virusinfo.info/virusdetector/report.php?md5=7C8C13BF04371E32DA4504C636866AE0[/url]

2) Сделайте полный образ автозапуска uVS - после создания образа автозапуска компьютер не перезагружайте до тех пока вам не дадут скрипт лечения.

можно его не делать? и вроде в логах все хорошо? как это можно проверить. файлы не появляются, сейчас буду комп изучать источник всего это зла, тему новую делать?
14.12.2013, 14:56
regist

[quote="TGR3;1070264"]можно его не делать? и вроде в логах все хорошо?[/quote]
нужен контрольный лог, чтобы убедиться что действительно ничего нет.
[quote="TGR3;1070264"]сейчас буду комп изучать источник всего это зла, тему новую делать?[/quote]
если другой компьютер, то да для каждого компьютера отдельная тема.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="TGR3;1070264"]можно его не делать? и вроде в логах все хорошо?[/quote]
нужен контрольный лог, чтобы убедиться что действительно ничего нет.
[quote="TGR3;1070264"]сейчас буду комп изучать источник всего это зла, тему новую делать?[/quote]
если другой компьютер, то да для каждого компьютера отдельная тема.
14.12.2013, 17:32
TGR3

гугл хром не работает, и сейчас появились опять ярлыки
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VCzz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VCzz" && start /b "" "\\GOLOVA\share\ProcessExplorer"

exe тоже вроде заражены
C:\Windows\system32\cmd.exe /C start /b "" "cmd.exe" /C if exist "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VCzz" start /b "" "\\GOLOVA\share\avz4\avz4\LOG\123\lyFAnRreZ.VCzz" && start /b "" "\\GOLOVA\share\ProcessExplorer\procexp.exe"

анализ того файла [URL]https://www.virustotal.com/ru/file/f60f8e55879c8885178154411f1e60fbd6a19d63f90b46f43295c1a63abcad67/analysis/1387028468/[/URL]

и лог последний (полный образ автозапуска uVS )
14.12.2013, 18:31
regist

[quote="TGR3;1070371"]анализ того файла[/quote]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим пока не загружайтесь.
15.12.2013, 16:11
TGR3

[b]regist[/b],
а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp? просто майкрософтовский антивирус показывал его как backdoor:win32/caphaw.A!lnk и это больше похоже на правду , как раз по общим папкам распростоняеться , а то Trojan-Ransom.Win32.Foreign.jsvp банер просто по описанию. логи будут завтра. заражение других машин возможен? и как остановить заражение всего парка компов?
15.12.2013, 20:11
regist

[quote="TGR3;1070724"]а вы уверены что это Trojan-Ransom.Win32.Foreign.jsvp?[/quote]
где я говорил про этот детект? я как раз считаю, что у вас Backdoor.Win32.Caphaw по классификации ЛК.
[quote="TGR3;1070724"]заражение других машин возможен?[/quote]
да, в том числе и через флешку.
15.12.2013, 22:44
TGR3

Название темы было сменено я думал это вы завтра будут логи
15.12.2013, 23:19
regist

[quote="TGR3;1070846"]Название темы было сменено[/quote]
там указан [URL="https://www.virustotal.com/ru/file/af6390554be080db5d8fe442a6bc6c626553eefb411ddfaba87baba145feb68e/analysis/1387135110/"]детект файла[/URL] по класификации ЛК, который вы прислали в карантин . Название меняется автоматически движком форума.
16.12.2013, 09:51
TGR3

сейчас пошло раскидывание по компам? может использовать скрипт [url]http://forum.oszone.net/post-2244546.html[/url]
по удалению ярлыков, даже можно всех. как считаете?
16.12.2013, 14:15
regist

считаю, что нужно сделать логи. До сих пор жду от вас образ автозапуска uVS
Сделайте лог uVS в безопасном режиме с поддержкой сети. В обычный режим после создания образа пока не загружайтесь.
16.12.2013, 17:52
TGR3

вот он
16.12.2013, 18:17
regist

Ничего плохого не видно. Вирусные ярлыки видно создаются с другого заражённого в сети компьютера.

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
16.12.2013, 18:29
TGR3

вот лог

др.веб в безопасном режиме показ вот что.

и еще вот HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
до перезагрузки генерировался строка и файл был rmactivate.exe вроде так, иногода менял папку куда будет идти.
16.12.2013, 18:55
regist

Сделайте на всякий случай ещё такой лог
[url=http://virusinfo.info/showthread.php?t=121985]Сделайте образ автозапуска uVS с Live CD[/url]
16.12.2013, 19:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \lyfanrrez.vczz - [B]Trojan-Ransom.Win32.Foreign.jsvp[/B][/LIST][/LIST]