Заражение на Win 2003 Server x64

Добрый день.
На сервер попало сразу несколько типов зараз. Точно был неустановленный шифровальщик, файлы удалось спасти из резервных копий. После этого была сделана полная проверка имеющимся антивирусом Касперского.
Антивирус нашел и прибил кучу файлов, в основном помеченных как Waspparser и SafeSurf. Также на системном диске появились каталоги, маскирующиеся под название системных - RECYCLER и RECYCLER$. Их удалили вручную вместе с содержимым, антивирус на них не реагировал, хотя оттуда точно запускался Waspparser и левый процесс winlogon.
Однако есть твердые подозрения, что это ещё не все.
Во-первых, не открываются сайты в браузерах, просто идет бесконечная загрузка страниц без результатов. Интернет при этом есть. Далее, в Documents and Settings появилась неудаляемая папка, созданная скорее всего SafeSurf - антивирус удалил из неё кучу всего, однако сама она осталась. В свойствах доступа стоят неснимаемые запреты на любые действия с каталогом, зайти или удалить не получается.
И напоследок, по какой-то причине не работает Dr Web Cure It. Запускается, однако проверка не идет - просто бесконечно крутится прогресс бар. Логи прикладываю.

[ATTACH]491863[/ATTACH]
[ATTACH]491864[/ATTACH]

Уважаемый(ая) [B]Эйран[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

MPK - кейлоггер сами себе устанавливали?

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

[QUOTE=mike 1;1153515]MPK - кейлоггер сами себе устанавливали?[/QUOTE]
Нет конечно.
Вот лог:
[ATTACH]491898[/ATTACH]

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]

[code]
;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE
breg

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\MY MUSIC\SYNC PLAYLISTS\DESKTOP.INI\SAFESURF\%TEMP%\1FFVV.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\36.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКА\МОИ ДОКУМЕНТЫ\RECYCLE.BIN$ (1).EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКА\МОИ ДОКУМЕНТЫ\RECYCLE.BIN$ (1).EXE
delall %SystemDrive%\RECYCLE.BIN\WINLOGON.EXE
delall %SystemDrive%\RECYCLE\WINLOGON.EXE
delref HTTPS://SALDETA.COM/THEMES/SWE.EXC
delref %SystemDrive%\SYSTEMRECOVERY\RESTORE.TPL\EDITOR\SMSS.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ИННА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1C.LNK
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\G5YVY7QP\SYSTEMRECOVERY[1].EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\G5YVY7QP\SYSTEMRECOVERY[1].EXE
[/code]

Сервер перезагрузите вручную. Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.

Сделайте новый лог uVS

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Скрипт выполнил. Заархивированные файлы смогу выслать чуть позже.
Вот новый лог от Malwarebytes:
[ATTACH]491926[/ATTACH]

Выполните скрипт в AVZ: (Файл => Выполнить скрипт)

[CODE]
begin
QuarantineFile('C:\Documents and Settings\Администратор\1745636.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://saldeta.com/themes/swe.exc -> Действие не было предпринято.

Обнаруженные файлы: 1
C:\Documents and Settings\Администратор\1745636.exe (Malware.Packer.ZA) -> Действие не было предпринято.
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[QUOTE=mike 1;1153647]После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.[/QUOTE]
Выполнил скрипт, отослал указанные файлы.
Вот новый лог Malwarebytes:
[ATTACH]492000[/ATTACH]

Антивирус сегодня снова нашел файлы от Waspparser. У меня есть подозрения на неудаляемую папку %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\MY MUSIC\
Возможно, там что-то осталось, не подскажите, как её можно удалить полностью?

Когда к Вам домой постоянно залазят, в первую очередь меняют замки.

В первую очередь смените пароли на учётки с администраторскими правами и у пользователей, имеющих право входа по RDP, у кого были не по делу - необходимо отобрать права администратора.

MS SQL сервер - также менять пароли, на SA в первую очередь, проверять, последний ли сервис-пак установлен. У вас - Microsoft SQL Server 2005 Service Pack 3, необходимо установить SP 4. Взлом через дыры SQL-сервера - классика жанра.

Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

Включите в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.

Установите все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[QUOTE=Vvvyg;1153823]Когда к Вам домой постоянно залазят, в первую очередь меняют замки.[/QUOTE]
Спасибо за рекомендации, все сделал.
Были установлены все заплатки и обновления из скрипта, пароли изменены, неудаляемая папка снесена вместе со всем содержимым.
Однако антивирус продолжает вылавливать новую вирусню, которой до этого не было. Последние случаи были классифицированы как Autoit.
Можете порекомендовать ещё способы найти оставшееся?

Сделайте новый лог uVS. Программу перекачайте по ссылке т.к. она обновилась.

Вот новый лог:
[ATTACH]492581[/ATTACH]
Сегодня с утра антивирус снова нашел заражения.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\NETWORK\SMSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\NETWORK\SMSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MPK\MPK.EXE
delref %SystemDrive%\SYSTEMRECOVERY\RESTORE.TPL\EDITOR\SMSS.EXE
delref %SystemRoot%\SYSWOW64\LSASS.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ИННА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BACKUP.LNK
czoo[/code]Перезагрузите сервер вручную.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

По обновлениям.
Мало установить последнюю версию Java, необходимо удалить старую уязвимую Java 6.

Вижу, устанавливали MS SQL Server 2005 SP4, но в памяти висит SP3. Не перегружали сервер после этого?

Через MS SQL Server и взламывают:[QUOTE]Доп. информация на момент обновления списка
pid = 1760
CmdLine "C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS
Процесс создан 16:04:42 [2014.09.01]
С момента создания 16:51:44
parentid = 464 C:\WINDOWS\SYSTEM32\SERVICES.EXE
ESTABLISHED 192.168.2.2:1433 <-> 192.168.2.2:4915
CLOSING 192.168.2.2:1433 <-> 115.230.124.155:5735
FIN_WAIT1 192.168.2.2:1433 <-> 115.230.124.155:11009
ESTABLISHED 127.0.0.1:4747 <-> 127.0.0.1:1026
ESTABLISHED 192.168.2.2:1433 <-> 192.168.2.2:4453
ESTABLISHED 127.0.0.1:4462 <-> 127.0.0.1:1026
ESTABLISHED 192.168.2.2:1433 <-> 115.230.124.155:20681[/QUOTE]

[URL="http://whois.domaintools.com/115.230.124.155"]Информация об адресе 115.230.124.155[/URL].

Да, и отреагируйте на личное сообщение, я Вам писал вчера.

[QUOTE=Vvvyg;1154919]
По обновлениям.
Мало установить последнюю версию Java, необходимо удалить старую уязвимую Java 6.

Вижу, устанавливали MS SQL Server 2005 SP4, но в памяти висит SP3. Не перегружали сервер после этого?

Через MS SQL Server и взламывают:[/QUOTE]
Все сделал.
Скрипт отработал, файл с карантином отослан, старая версия Java удалена.
После установки сервис пака сервер перезагружался, не знаю в чем может быть дело.
Ответил вам на ЛС.

На ip-адресе, который Вы мне дали в личке, видим множество открытых портов:

53/UDP - DNS-сервер с рекурсией. [URL="http://habrahabr.ru/post/235197/"]Разъяснение, чем это опасно[/URL].

80/TCP - Microsoft-IIS/6.0 в состоянии "взломай меня, если сможешь".
1947/TCP - тоже http-сервер, HASP LM.

TCP порты 475, 1025,1026, 1035, 1038 - стандартные RPC-сервисы Windows.
1234/TCP - search-agent (?)

1433/TCP, 1434/UDP - сидит MS SQL Server 2005 SP3 (9.00.4035) именно на этом сервере - SERVER1C. По другим портам уверенности, что попадаем на взламываемый сервер у меня нет, но по SQL - железно.

И - тадамм - Microsoft Terminal Service на стандартном порту 3389/TCP - брутфорсится за милую душу.

Пока эти дыры не прикроете - так и будем ловить уже проникших на сервер зловредов.

Сделайте экспорт журнала безопасности в .CSV, упакуйте в архив, на rghost.ru и ссылочку дайте.
И новый полный образ безопасности UVS для контроля сделайте.

[QUOTE=Vvvyg;1155057]
Сделайте экспорт журнала безопасности в .CSV, упакуйте в архив, на rghost.ru и ссылочку дайте.
И новый полный образ безопасности UVS для контроля сделайте.[/QUOTE]
Сделал новый образ:[ATTACH]492681[/ATTACH]
Журнал выслал вам в ЛС.

[PHP]23.08.2014,18:59:11,Security,Аудит успехов,Вход/выход ,540,NT AUTHORITY\АНОНИМНЫЙ ВХОД,SERVER1C,"Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x2AA93B8)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: SERVDATOSAVANT
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 190.204.139.115[/PHP]

И несколько раз после этого - такое:
[PHP]23.08.2014,20:13:59,Security,Аудит успехов,Вход учетной записи ,680,SERVER1C\Гость,SERVER1C,"Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Гость
Исходная рабочая станция: SERVDATOSAVANT
Код ошибки: 0x0[/PHP]
Это из Венесуэлы заглядывали.

01.09.2014,19:00 аналогичный заход из Вьетнама.
И такой же проходной двор за всё время с начала журнала :(
Отключите учётную запись "Гость".
Пуск->Панель управления->Администрирование->Локальная политика безопасности->Локальные политики->Параметры безопасности->Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями - Свойства->Включить.

И закрывайте доступ снаружи. Что там у вас - роутер, или сервер голой ж... виндовс в интернет выставлен?

[QUOTE=Vvvyg;1155270]Отключите учётную запись "Гость".
И закрывайте доступ снаружи.[/QUOTE]
Гостя отключил, параметры безопасности исправил.
Сервер подключен через роутер, аппаратный файрвол на нем включен. Непонятно, почему при этом есть доступ к портам.
Подскажите, где эффективнее будет закрывать порты - на сервере или роутере?

Закрывать нужно и на роутере, и на системном брандмауэре. Судя по всему, на роутере адрес сервера просто прописан как virtual server, или что-то подобное, вопрос терминологии - т. е. соединения по всем портам с WAN переводятся на этот сервер, а нужно - только те, что нужны для работы удалённых клиентов.
На брандмауэре, который должен быть, естественно, включён - в исключениях на "Общий доступ к файлам и принтерам", портам, используемым MS SQL Server и всем прочим, кроме используемого для удалённой работы, должно быть установлено "Только локальная сеть" ("Изменить" -> "Изменить область").

[QUOTE=Vvvyg;1155338]Судя по всему, на роутере адрес сервера просто прописан как virtual server, или что-то подобное, вопрос терминологии - т. е. соединения по всем портам с WAN переводятся на этот сервер, а нужно - только те, что нужны для работы удалённых клиентов.[/QUOTE]
Разобрался с роутером. Действительно, была включена функция dmz host, все передавалось на сервер. Оставил открытым только один порт, необходимый для работы. Если можно, проверьте ещё раз порты на доступность.
С системным файрволом к сожалению, пока ничего не получается - выдает ошибку запуска из-за уже запущенного IPNAT.SYS, пока не разобрался, что ему мешает.
И ещё один момент. Как я говорил, не работает Dr Web Cure It. Нашел в системном журнале его ошибку
[CODE]DrWeb ARKApi: Can't load dwarkapi.dll[/CODE]
Не подскажете, в чем дело?

[QUOTE=Эйран;1155419]Если можно, проверьте ещё раз порты на доступность.[/QUOTE]
Сейчас только порт 1234 открыт, так и задумано?

[QUOTE=Эйран;1155419]С системным файрволом к сожалению, пока ничего не получается - выдает ошибку запуска из-за уже запущенного IPNAT.SYS, пока не разобрался, что ему мешает.[/QUOTE]

Отключите роль "Сервер удалённого доступа или VPN-сервер". Или надо настраивать "Маршрутизацию и удалённый доступ" в администрировании.

[QUOTE=Эйран;1155419]И ещё один момент. Как я говорил, не работает Dr Web Cure It. Нашел в системном журнале его ошибку
[CODE]DrWeb ARKApi: Can't load dwarkapi.dll[/CODE]
Не подскажете, в чем дело?[/QUOTE]

Не подскажу, спросите в ТП Dr. Web. Возможно, антивирус касперского мешает. Вообще, CureIt! рекомендуют в безопасном режиме запускать.

[QUOTE=Vvvyg;1155637]Сейчас только порт 1234 открыт, так и задумано?[/QUOTE]
Да, этот порт нужен для работы.
Системный файрвол уже включил. В безопасном режиме с CureIt тоже самое, к сожалению, но раньше он работал без проблем. Буду обращаться в службу поддержки.
Большое спасибо за оказанную помощь в лечении.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]