Знакомые арендуют Win-сервер (2008 R2 STD) у хостера. Пару дней назад хостер отключал их аккаунт из-за "подозрительной сетевой активности". По тем логам, что показывали мне, я видел, что с ip-сервера по внешним (рандомным) ip-серверам шли попытки подключения на 445 порт.
С их слов, они забрали нужные данные с сервера и заказали автоматическую установку (с нуля). После чего их разблокировали, они вернули данные и ПО обратно, но и суток не прошло, как их заблокировали снова по той же причине.
Меня сегодня попросили посмотреть, но я добрался до компа только сейчас. Подключился через терминал - ничего интересного на первый взгляд не нашел, но и опыта у меня по борьбе с такими вещами особо нет. Как я понял, после последней блокировки их админ запускал несколько антивирусных сканеров, которые "что-то нашли и удалили", но что именно нашли админ не помнит и логи не сохранил. В карантине у CureIt валялся только один 3МБ-файл, но по этому файлу virustotal ничего не детектит.
Сейчас сетевой активности, вроде, нет. Странных процессов нет. Посмотрите, пжл, логи - не видно ли там каких-нибудь "ушей"?
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) M.Hamster, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Win2008R2 - сканит сеть (445 порт)
Сообщение от Vvvyg
