Снова c2.bat и lsmosee.

Printable View

10.09.2017, 00:00
aen1975

Вложений: 1

Снова c2.bat и lsmosee.

Знакомые обратились - пропал доступ к расшаренной папке на сервере. Имеем - Win2003 Server, все возможные обновления установлены.
НОД каждые три часа обнаруживает system32\debug\c2.bat и через минут после него в help\lsmosee.

Посмотрел сообщения на форуме - в отличие от другх - в планировщике нет заданий типа Mysa. В реестре что нашел - подчистил.

Отчет аутологера прикрепил.

Добавлено - нашел файлик в темпе одного пользовтеля - test(1).htm - внутри htt://2о9.58.186.145:четыре 8/close2.bat c:\windows\debug\c2.bat 1
10.09.2017, 00:10
Info_bot

Уважаемый(ая) [B]aen1975[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.09.2017, 20:56
Vvvyg

Обновления от WannaCry нужно устанавливать на всех компьютерах в локальной сети. А лучше - вообще все обновления.
Запретить протокол SMB версии 1 не выйдет, т. к. 2003 server, а на компьютерах, наверняка, XP ещё есть.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
10.09.2017, 22:00
aen1975

Вложений: 1

UVS log
10.09.2017, 22:15
Vvvyg

[CODE]C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\Manage Your Server.lnk[/CODE]
Ярлык управления сервером испорчен вирусом, а так - чисто. Ставьте патчи на все компьютеры, отбирайте права администратора у пользователей, которым они в действительности не нужны.

Расширение [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598"]отсюда[/URL] на сервер точно устанавливали? Без него не избавитесь от заразы.
11.09.2017, 10:25
aen1975

[QUOTE=Vvvyg;1463597][CODE]C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\Manage Your Server.lnk[/CODE]
Ярлык управления сервером испорчен вирусом, а так - чисто. Ставьте патчи на все компьютеры, отбирайте права администратора у пользователей, которым они в действительности не нужны.

Расширение [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598"]отсюда[/URL] на сервер точно устанавливали? Без него не избавитесь от заразы.[/QUOTE]

ок, проверю еще раз