Добрый день.
На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
DRweb и KVP ничего не находят.
Printable View
Добрый день.
На сервере R8 словил вирус который все файлы на дисках засунул в WinRar с паролем + отрубил RDP.
DRweb и KVP ничего не находят.
Уважаемый(ая) [B]Vulgarius[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe');
TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe');
TerminateProcessByName('C:\Windows\SysWOW64\MTMonitor\tmmt.exe');
QuarantineFile('c:\windows\syswow64\mtmonitor\tmz.dll', '');
QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tsynchost.exe', '');
QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '');
QuarantineFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '');
DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt.exe', '32');
DeleteFile('C:\Windows\SysWOW64\MTMonitor\tmmt64.exe', '32');
DeleteFile('c:\windows\syswow64\mtmonitor\tsynchost.exe', '32');
DeleteFile('c:\windows\syswow64\mtmonitor\tmz.dll', '32');
DeleteService('MainTSyncHost');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.[/code]
Перезагрузите сервер вручную.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого они были не по делу - необходимо отобрать права администратора.
Пробуйте восстановить базы из теневых копий - проверяйте в свойствах папок на вкладке "Предыдущие версии". Но злоумышленники могли и отключить эту возможность.
Сделал полный образ автозапуска
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.85.20 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
del %Sys32%\DRIVERS\SOLDISK.SYS
delref %Sys32%\DRIVERS\SOLDISK.SYS
del %Sys32%\DRIVERS\SOLFS.SYS
delref %Sys32%\DRIVERS\SOLFS.SYS
delall %SystemRoot%\SYSWOW64\MTMONITOR\TMVLT.EXE
delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
deldir %SystemRoot%\SYSWOW64\MTMONITOR
Exec wevtutil.exe epl System %SystemRoot%\minidump\system.evtx
Exec wevtutil.exe epl Application %SystemRoot%\minidump\Application.evtx
Exec wevtutil.exe epl Security %SystemRoot%\minidump\Security.evtx
Exec pack\7za.exe a -t7z -mx9 -m0=ppmd:o=32:mem=512m Events.7z C:\Windows\minidump\*.evtx[/code]Перезагрузите сервер
В папке с UVS появится архив [B]Events.7z[/B], загрузите его на rghost.ru и дайте ссылку в теме.
Я все делаю по инструкции но файл Events.7z весит 1 кб это нормально?
Что-то не так.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
вот :
[URL="http://rghost.ru/private/8yvwFxhhW/43041d37a3b0ae45802a34560dbe9ae9"]http://rghost.ru/private/8yvwFxhhW/43041d37a3b0ae45802a34560dbe9ae9[/URL]
Не вижу вложения.
[URL="http://rghost.ru/private/8yvwFxhhW/43041d37a3b0ae45802a34560dbe9ae9"]http://rghost.ru/private/8yvwFxhhW/43041d37a3b0ae45802a34560dbe9ae9[/URL]
Увидел?
Ладно, просто сохраните журналы событий "Приложение", "Безопасность" и "Система" как файлы событий (*.evtx), упакуйте покрепче, и на rghost.
вот
[URL]http://rghost.ru/7cGX4Czcc[/URL]
Судя по всему, долбили целенаправленно ещё с середины апреля, видно по множеству попыток неудачного входа по ночам.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установите политиками минимальную длину пароля хотя бы 5 символов, желательно срок действия павроля ограничить месяцем или двумя хотя бы.
Переименуйте стандартную учётную запись администратора, через неё, вероятнее всего и взломали.
Установите все доступные обновления для системы.
Организуйте систему резервного копирования так, чтобы бэкапы не были доступны всем учётным записям на сервере, кроме одной, под которой работает программа резервного копирования.
Базы восстановили в результате? Теневые копии помогли?
Спасибо за обнаружение дыры.
нет, не восстановили как это сделать?Как восстановить теневые корпии?Как найти пароль?
Спасибо за ответ.
Пароль найти/подобрать нереально.
По теневым копиям я писал в конце сообщения #3.
у нас она была отключена.
Может есть другой способ?
Теневые копии зачем отключали? Самый простой и при этом встроенный в систему способ восстановить систему и данные...
Видел по журналам, что множество программ восстановления данных перепробовали. Пожалуй, вариантов нет. Резервных копий что, совсем не было?
Урок, надеюсь усвоили, больше помочь нечем.
Спасибо !!
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
а если удалить фаил из архива Его можно будет восстановить?
Нет.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]