Добрый день.
Появились такие процессы.
Win server 2003 x64 sp2.
Помогите побороть.[ATTACH=CONFIG]495183[/ATTACH][ATTACH=CONFIG]495184[/ATTACH][ATTACH=CONFIG]495182[/ATTACH]
Добрый день.
Появились такие процессы.
Win server 2003 x64 sp2.
Помогите побороть.[ATTACH=CONFIG]495183[/ATTACH][ATTACH=CONFIG]495184[/ATTACH][ATTACH=CONFIG]495182[/ATTACH]
Уважаемый(ая) [B]atataMen[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
TerminateProcessByName('c:\intel\web\microsoft\services.exe');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
QuarantineFile('C:\RECYCLER\Windows\winlogon.exe','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
QuarantineFile('c:\intel\web\microsoft\services.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\intel\web\microsoft\services.exe','32');
DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\freebl3.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\gkmedias.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\mozalloc.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\mozglue.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\mozjs.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\nss3.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\nssckbi.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\nssdbm3.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\softokn3.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\f\1\xul.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Core.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Winforms.dll','32');
DeleteFile('C:\RECYCLER\Windows\winlogon.exe','32');
DeleteFileMask('C:\Intel','*',true);
DeleteDirectory('C:\Intel');
ExecuteSysClean;
end.[/code]Перезагрузите сервер вручную.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
карантин выслал, автозагрузка не влезает, весит 627 кб
[url=http://virusinfo.info/showthread.php?t=130567]Удалите старые вложения[/url], либо загрузите на rghost.ru и дайте ссылку в теме.
теперь у терминальных пользователей ошибка при входе "windows не удалось выполнить ваш вход в систему"
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[ATTACH=CONFIG]495199[/ATTACH]
Старые вложения - имелись ввиду по предыдущим темам, не по этой. Теперь здесь не понять, с чего всё начиналось.
Скрипт никакие службы системные не трогал, что-то сами меняли в настройках, удаляли?
Ссылку на Universal Virus Sniffer я специально дал, чтобы Вы скачали актуальную версию. Образ сделан в старой бета-версии с ошибками, для дальнейших действий скачайте по моей ссылке.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
zoo %SystemRoot%\ADFS\CTFMON.EXE
delall %SystemRoot%\ADFS\CTFMON.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
zoo %SystemDrive%\RECYCLER\WA.VBS
delall %SystemDrive%\RECYCLER\WA.VBS
zoo %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN\GN_REF_CONTROL_2.EXE
dirzoo %Sys32%\RAS\WINLOGO
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG
deldir %SystemDrive%\INTEL\WEB
zoo %SystemRoot%\ADFS\TASKMGR.EXE
delall %SystemRoot%\ADFS\TASKMGR.EXE
zoo %Sys32%\1031\TN.EXE
delall %Sys32%\1031\TN.EXE
zoo %Sys32%\1031\X.EXE
delall %Sys32%\1031\X.EXE
czoo
deltmp[/code] и перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте экспорт журнала событий "Безопасность", загрузите на rghost.ru и дайте ссылку [U]в личном сообщении[/U]. Там же укажите внешний ip адрес шлюза, через который выходите в интернет, буду прооверять на вероятность взлома.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Меры против взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
You may only post 5 messages every 1440 minutes..... печаль.
в общем в марте-мае 2013 вскрыли на дедик, адрес есть в инете, может поэтому досих пор перебирают.
Меняйте ip, это лучший выход.
Перенесите, если есть возможность, сервисы, которые нужны для доступа извне, на нестандартные порты где-то за 40-50 тысяч. Например, по RDP пусть заходят снаружи на ip:56789 (к примеру). Это, если есть возможность на роутере сделать перенаправление портов.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
[url]http://rghost.ru/58075081[/url]
Апач, надеюсь, ваш крутится на сервере? Или тоже подсажен?
И это [B]C:\PROGRAM FILES (X86)\L'OREAL RUSSIA[/B] - ваше?
Выполните скрипт в uVS:[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
delref %SystemDrive%\RECYCLER\WINDOWS\WINLOGON.EXE
delref %SystemDrive%\DOCUME~1\MNBESP~1\LOCALS~1\TEMP\UNKIS.VBS
delref %SystemRoot%\SYSWOW64\LSASS.EXE
deldir %Sys32%\RAS\WINLOGO
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN
delref %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\APPLICATION DATA\MAIL.RU\AGENT\MRA\DLL\NEWMRASEARCH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE[/CODE]
Перезагружать сервер не к спеху, можно, как нужда будет.
Ещё момент важный. Пользователи, работающие в терминальном режиме, [B][U]не должны ни в коем случае[/U][/B]:
иметь администраторских прав;
устанавливать какие-либо программы на сервере, даже в своём профиле;
выходить в интернет с сервера, пусть делают это со своих компьютеров.
Соответственно, на сервере не должно быть никаких браузеров кроме IE, icq, майлрушных агентов и т. п. Пользователей жёстко ограничить политиками.
апач мой, лореаль тоже.
после uVS вечно терминальники слетают.
сейчас 2 тонких подключено, поэтому интернет пока используется (знаю что очень опасно, вдалбливаю руководству что необходимы отдельные компы)
Тогда, как будет возможность перегрузить, скрипт выполните.
На момент повторного образа автозапуска левоты в процессах не было.
автозапуск потом присылать ?
Если будут опять левые процессы, или подозрения. Активного ничего не было уже.
Вот по этому пути
C:\Documents and Settings\***\Local Settings\Application Data
у некоторых пользователей есть папка Waspace, с 2 файлами, их руками удалять ?
Удалите, и новый полный образ автозапуска для контроля.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11eafcdd - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( DrWEB: Tool.Wasppacer.2 )[/LIST][/LIST]