Постоянно появляется вирусный файл...
Д день. Компьютер с ОС 2003 32 SP2 server. В каталоге C:\Windows\Fonts появляются два файла sqlservr.exe и sqlwriter.exe. Файл sqlservr.exe грузит процессор на 99%. Отловить не могу (актуальные куреит и касперский АВП ничего не видят, так же, как и актуальный авз). Как понять - откуда берется? Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ria, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Спасибо, автологер запустил, но он требует перезапуска системы для продолжения сбора логов. Пока не могу перезапустить, рабочий сервер. как будет пауза - сразу... Руками можно удалить эти файлы из C:\Windows\Fonts (предварительно завершив процесс sqlservr.exe, но через какое то время они появляются снова. Откуда и как - вопрос. В результате сервер несколько раз может вываливаться в бсод (на трех разных системных блоках пробовал, думал - железо, так же вываливались в бсод). Похоже на вирусную атаку, но как понять, что и как? В этой же локалке еще 15 компьютеров, с ними все ок. Только вот этот сервер так себя ведет...
- - - - -Добавлено - - - - -
Файл автологера
Последний раз редактировалось ria; 23.01.2018 в 12:35.
Д день. А будет какая информация по запросу? Спасибо.
Уважаемые хелперы, скажите что-нибудь, актуально очень...
Патч в первую очередь ставьте: http://www.catalog.update.microsoft....px?q=KB4012598
Выполните скрипт в AVZ:В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin QuarantineFile('C:\pwned.txt', ''); QuarantineFile('C:\WINDOWS\microsoft.exe', ''); QuarantineFileF('C:\WINDOWS\Fonts', '*.exe', false, '', 0, 0); DeleteFile('C:\WINDOWS\microsoft.exe'); DeleteFileMask('C:\WINDOWS\Fonts', '*.exe', true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
WBR,
Vadim
При попытке загрузки файла карантина quarantine.zip пишет
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Проблема после установки патча актуальна?
WBR,
Vadim
Спасибо, патч на сп2 поставил, насчет ухода проблемы - вопрос, бывало, что и неделю работало норм, потом вышибало или в бсод, или службы Сервер и Рабочая станция останавливались и сетка вставала. Надо понаблюдать. Пока больше ничего не присылать?
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к теме.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Спасибо. Прикрепил файл. К сожалению, я не могу перейти на 2008 сервер и выше, тк на 2003 стоит нестандартное ПО, установленное еще лет 10 назад сторонней фирмой, оно очень важное, а перенести его на 2008 и выше нельзя по разным причинам (даже разработчиков этого ПО не найти и не факт, что это ПО заработает под 2008. Поэтому приходится пользовать для этих задач 2003... Работал норм столько лет, а теперь начал глючить. Железо менял пару раз, накатывал iso, но, судя по всему, дело не в железе, вышибает в разные бсоды два-три раза в сутки. Лезет какая то зараза. Как отловить - не знаю. Стоит McAfee VirusScan Enterprise 8.7.0i Patch 3, обновляется, а утром приходишь - синий экран бсода...
Последний раз редактировалось ria; 31.01.2018 в 10:28.
Устанавливайте всё по списку:Поиск критических уязвимостей
Жизненный цикл Windows Server 2003 закончился
Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...a-1f0a285b2fb7
Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...c-8d42d42d1f70
Накопительное обновление безопасности для браузера Internet Explorer
http://www.microsoft.com/downloads/d...c-113de34f887c
Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/d...e-32abf387b54a
Уязвимость в Центре справки и поддержки Windows
http://www.microsoft.com/downloads/d...D-6FD02BD1AC07
Уязвимость обработки графики в оболочке Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...7-2A0A55CBB6BF
Обновление функции автозапуска в Windows
http://www.microsoft.com/downloads/d...6-0e64fa73f684
Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...0-d689bf1901a8
Уязвимости в ядре Windows могут привести к несанкционированному получению прав
http://www.microsoft.com/downloads/d...6-263D3EE434D6
Уязвимости в Windows Media делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...a-63955279b6a9
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://www.microsoft.com/ru-ru/downl....aspx?id=29971 (требуется лицензионный Windows) или
http://download.microsoft.com/downlo...04-x86-RUS.exe
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...6-4c270dbfc802
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b
Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...f-5a8b990b1878
Уязвимость в ядре Windows может допустить повышение уровня полномочий
http://www.microsoft.com/downloads/d...d-b5b6a3f49fb4
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Жизненный цикл Microsoft Office 2003 закончился. Используйте современное ПО.
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...2-68243605db6b
Для установки этого обновления требуется установить SP3 для Microsoft Office 2003
http://www.microsoft.com/downloads/d...2-5e3c1132f206
Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...d-048487406d4f
Для установки этого обновления требуется установить SP3 для Microsoft Office 2003
http://www.microsoft.com/downloads/d...2-5e3c1132f206
Установите Adobe Reader XI (11.0) или удалите старый.
http://get.adobe.com/reader/otherversions
Обнаружено уязвимостей: 20
WBR,
Vadim
Спасибо большое за патчи. Все поставил, сервер неделю отработал корректно, без бсодов и заразы. Осталась одна непонятка - макафи отлавливает в каталоге C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files постоянно rar-файл, определяя его как троян. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files очищаю, но папки появляются опять. Файл 0204[1].rar, макафи пишет - ArtemistEFE... Нашел, что Artemis — это вредоносная программа, нарушающая работу браузера. В реестре Artemis только в ветках макафи (типа, карантин и сообщения о сканировании). Как избавиться от этого Artemis? Спасибо.
Последний раз редактировалось ria; 07.02.2018 в 13:04.
Проверьте один из таких файлов на virustotal.com.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Спасибо. Проверить на вирусинфо не получается, макафи их удаляет сразу ) Требуемый архив прикрепил. Макафи пишет - путь к приложению: C:\windows\system32\wbem\scrcons.exe. По этому пути смотрел - пусто. В реестре нашел две ссылки на
C:\windows\system32\wbem\scrcons.exe - удалил. Никаких "левых" процессов в момент срабатывания макафи в диспетчере задач не вижу. Все штатно. Это сервер, браузер IE8 там никем не используется вообще, просто присутствует, как часть ОС.
Последний раз редактировалось ria; 08.02.2018 в 10:52.
Лог неполный.
Отключите временно антивирус. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Запустите FRST, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Folder: C:\Windows\system32\ps Folder: C:\Windows\system32\p C:\Windows\microsoft.exe
Сделайте новый лог FRST с отключённым Mcafee.
WBR,
Vadim
Д день. В архиве три требуемых файла с отключенным макафи. После вчерашнего удаления из реестра упоминаний о scrcons.exe сообщений от макафи об удалении Artemist в папке C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files пока не было.
Последний раз редактировалось ria; 09.02.2018 в 09:18.
Примените такой fixlist.txt:Новый Fixlog.txt прикрепите.Код:WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
WBR,
Vadim
Д день. Выполнил. Прикрепил файл. Никаких сообщений от макафи нет.
Тогда всё на этом.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Уважаемый(ая) ria, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
