Не понятная активность в папке windows создаются файлы цифрами и с такими же цифрами создаются службы в панели управления. Антивирус Касперского установлен.Если удалять вручную файл и чистить в реестре службы после перезапуска примерно через день опять появляется файл.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) tiptow, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin StopService('42217006'); QuarantineFile('C:\Windows\42217006.exe', ''); QuarantineFile('C:\Windows\SysWOW64\boostsetthe.exe', ''); QuarantineFile('C:\Windows\SysWOW64\reppausea.exe', ''); DeleteFile('C:\Windows\42217006.exe', '64'); DeleteFile('C:\Windows\SysWOW64\boostsetthe.exe', '64'); DeleteFile('C:\Windows\SysWOW64\reppausea.exe', '64'); DeleteService('42217006'); DeleteService('boostsetthe'); DeleteService('reppausea'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
скрипт выполнился, данные прикрепил.
куда отчет прикрепить работы утилиты ClearLNK
Последний раз редактировалось tiptow; 07.05.2020 в 17:09.
И Farbar Recovery Scan Tool тоже.
WBR,
Vadim
Прикрепил.
Когда все пользователи на сервере администраторы - всегда бардак и вирусы. Судя по GPO черви там и ранее бродили.BadulMI (S-1-5-21-311720527-1211486074-2220222828-3053 - Administrator - Enabled) => C:\Users\Badulmi
rodionovyv (S-1-5-21-311720527-1211486074-2220222828-3127 - Administrator - Enabled) => C:\Users\rodionovyv
Zoubko (S-1-5-21-311720527-1211486074-2220222828-5259 - Administrator - Enabled) => C:\Users\Zoubko
asumaxd (S-1-5-21-311720527-1211486074-2220222828-5297 - Administrator - Enabled) => C:\Users\asumaxd
maloletkin (S-1-5-21-311720527-1211486074-2220222828-5300 - Administrator - Enabled) => C:\Users\maloletkin
badul (S-1-5-21-311720527-1211486074-2220222828-5308 - Administrator - Enabled) => C:\Users\badul
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: S2 typeperf; "C:\Windows\SysWOW64\typeperf\typeperf.exe" [X] End::
Если будет запрос на перезагрузку - перезагрузите сами, когда будет удобно.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Уязвимостей не видно прикрепил данные...Сообщение от Vvvyg
Последний раз редактировалось Vvvyg; 07.05.2020 в 21:15.
Не нужно полностью цитировать, это ухудшает читаемость темы и переводит сообщения на премодерацию.
На данный момент чисто.
Но если происходят рецидивы заражения, значит, в сети не всё в порядке с безопасностью. А наличие шести админов (и ни одного обычного юзера) на сервере только подкрепляет эту мысль. Вам, конечно, лучше знать, как и зачем это нужно, но всё же.
WBR,
Vadim
Да, смотришь чисто. Проходит день и опять прилетает. может есть утилита чем его можно словить (откуда летит).
Аудит настраивайте, параллельно урезайте права на папки. Проверяйте все компьютеры в сети.
Трояны семейства Trojan-Banker.Win32.Emotet распространяются через уязвимости, поэтому обновление системы, MS Office, продуктов Adobe, Java и пр. обязательно.
WBR,
Vadim
Посоветуете что-то для аудита, внутренними средствами не совсем понятно как искать..
На сервере из установленных программ ничего нету.
Я конечно понимаю что залетает он через админскую шару, с:\windows - ADMIN$ Но выяснить с какого хоста и пользователя пока не понимаю как. Аудит по времени создания файла в журналах по безопасности не отражает какие-либо подозрительные подключения в это время.
Аудит cсредствами Windows достаточно мощный. Надо отследить в папке Windows создание файлов / запись данных.
Применение базовой политики аудита к файлу или папке
Можно просто отключить админскую шару,в реестре HKLM\System\CurrentControlSet\Services\LanmanServe r\Parameters добавляете параметр типа DWORD с именем AutoShareServer и значением 0. Для верности ещё и DWORD AutoShareWks=0.
И искать пути проникновения трояна.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\windows\28123407.exe - HEUR:Trojan-Banker.Win32.Emotet.gen=
( AVAST4: Win32:BankerX-gen [Trj] )- c:\windows\42217006.exe - HEUR:Trojan-Banker.Win32.Emotet.gen=
( AVAST4: Win32:BankerX-gen [Trj] )
Уважаемый(ая) tiptow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
