Здравствуйте.
Взломали сервер win 2019, накидали вирусов:( От вирусов вроде почистил, а вот как исправить последствия после них не представляю.
Прошу помощи профессионалов.
Здравствуйте.
Взломали сервер win 2019, накидали вирусов:( От вирусов вроде почистил, а вот как исправить последствия после них не представляю.
Прошу помощи профессионалов.
Уважаемый(ая) [B]Shk[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
[QUOTE=Vvvyg;1525716]Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).[/QUOTE]
Прикрепляю.
Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore: on
CreateRestorePoint:
Task: {3A0625B1-CCE8-4453-9DB9-F8989D3ACC8E} - System32\Tasks\Anvirlauncher => C:\Program Files (x86)\AnVir Task Manager\anvirlauncher.exe (Нет файла)
HKLM-x32\...\Run: [] => [X]
Virustotal: C:\ProgramData\svcr.exe
File: C:\ProgramData\svcr.exe
Virustotal: C:\ProgramData\removelastfolders.exe
File: C:\ProgramData\removelastfolders.exe
Virustotal: C:\Windows\system32\TSMSISrv.dll
File: C:\Windows\system32\TSMSISrv.dll
unlock: C:\Windows\ptmp
Folder: C:\Windows\ptmp
Unlock: C:\ProgramData\WRData
Folder: C:\ProgramData\WRData
StartBatch:
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
File: C:\Windows\system32\wuauserv.dll
File: C:\Windows\SysWOW64\wuauserv.dll
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Готово.
Ещё одно исправление, пожалуйста, и новый Fixlog.txt приложите:[CODE]Start::
File: C:\Windows\System32\WUAUENG.DLL
End::[/CODE]
И сделайте новый лог FRST (без addition.txt для скорости), посмотрите, этот фрагмент в нём будет присутствоват? Если нет - мы на правильном пути.
[QUOTE]==================== Службы (В белом списке) ===================
(Если запись включена в fixlist, она будет удалена из реестра. Файл не будет удалён, если он не указан отдельно.)
"!SASCORE" => служба был разблокирован. <==== ВНИМАНИЕ
"a2AntiMalware" => служба был разблокирован. <==== ВНИМАНИЕ
"Adguard Service" => служба был разблокирован. <==== ВНИМАНИЕ
"Chemtable Startup Checking" => служба был разблокирован. <==== ВНИМАНИЕ
"DUMeterSvc" => служба был разблокирован. <==== ВНИМАНИЕ
"EsgShKernel" => служба был разблокирован. <==== ВНИМАНИЕ
"GlassWire" => служба был разблокирован. <==== ВНИМАНИЕ
"gwdrv" => служба был разблокирован. <==== ВНИМАНИЕ
"KvMonXP.exe" => служба был разблокирован. <==== ВНИМАНИЕ
"MBAMProtector" => служба был разблокирован. <==== ВНИМАНИЕ
"MBAMSvc" => служба был разблокирован. <==== ВНИМАНИЕ
"mssecsvc2.0" => служба был разблокирован. <==== ВНИМАНИЕ
"MSSystem" => служба был разблокирован. <==== ВНИМАНИЕ
"RManService" => служба был разблокирован. <==== ВНИМАНИЕ
"SecureLine" => служба был разблокирован. <==== ВНИМАНИЕ
"Windows Locator Service (managed by AlwaysUpService)" => служба был разблокирован. <==== ВНИМАНИЕ
"WindowsDefend" => служба был разблокирован. <==== ВНИМАНИЕ
"wscsvs" => служба был разблокирован. <==== ВНИМАНИЕ
"_wfcs" => служба был разблокирован. <==== ВНИМАНИЕ
[/QUOTE]
Исправление сделал, фрагмента нет. Лог прикрепляю.
DLL на месте, пробуйте твик реестра из вложения.
[ATTACH=CONFIG]687534[/ATTACH]
После перезагрузки проверяйте обновление системы.
Твик применил, но при перезагрузке кажется что то пошло не так :)
Отпишусь, когда кто либо физически до сервера доберется.
Ну, то, что мы с ним творили, не должно было вызвать такие последствия.
На адаптере был выключен DHCP, почему он выключился после перезагрузки, непонятно. Центр обновления заработал, это радует.
Восстановление пока все также не работает, мб после обновлений все придет в норму...
[QUOTE=Shk;1525775]Восстановление пока все также не работает, мб после обновлений все придет в норму...[/QUOTE]
Эт' вряд ли... (C) Товарищ Сухов :)
Пробуйте reg-файл, он для аналогичного билда 10-ки, надеюсь, прокатит на сервере.
[ATTACH=CONFIG]687548[/ATTACH]