Поймал майнер. Вроде всё удалил, но ощущение что хвосты остались.
Поймал майнер
Поймал майнер. Вроде всё удалил, но ощущение что хвосты остались.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Daninoplanet, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Хвосты остались, почистим.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin DeleteFile('C:\ProgramData\Wcolacomo\Vkeco.exe', ''); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', ''); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', ''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', ''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "NetLibrary" /F', 0, 15000, true); DeleteService('spoolsrvrs'); DeleteService('wcvvses'); DeleteService('werlsfks'); DeleteService('wscsvs'); DeleteFileMask('c:\programdata\wcolacomo', '*', true); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteDirectory('c:\programdata\wcolacomo'); DeleteDirectory('c:\windows\inf\netlibrariestip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); end.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
ClearLNK-2019.05.06_10.20.36.log
После второго скрипта уязвимостей найдено не было.
Судя по всему была скомпрометирована учетка админа домена, на остальных серверах то же самое, но не в таком объёме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Отчёты.
Лучше выполните из безопасного режима, если FRST не сможет что-то удалить сразу, пошлёт систему на перезагрузку.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:IFEO\sethc.exe: [Debugger] rdm.exe Task: {517E7532-A0D7-4A5A-A119-F002451D3E27} - System32\Tasks\Microsoft\Windows\EntityFramework\NetLibrary => C:\ProgramData\Wcolacomo\Vkeco.exe S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X] S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X] S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
WBR,
Vadim
Готово.
Всё на этом.
WBR,
Vadim
Такая же ситуация с остальными серверами в домене. Для них надо отдельные темы создавать?
Да, один компьютер - одна тема.
Уважаемый(ая) Daninoplanet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
