Здравствуйте.
Взломали сервер win 2019, накидали вирусов:( От вирусов вроде почистил, а вот как исправить последствия после них не представляю.
Прошу помощи профессионалов.
Здравствуйте.
Взломали сервер win 2019, накидали вирусов:( От вирусов вроде почистил, а вот как исправить последствия после них не представляю.
Прошу помощи профессионалов.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Shk, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Прикрепляю.Сообщение от Vvvyg
Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.Код:Start:: Systemrestore: on CreateRestorePoint: Task: {3A0625B1-CCE8-4453-9DB9-F8989D3ACC8E} - System32\Tasks\Anvirlauncher => C:\Program Files (x86)\AnVir Task Manager\anvirlauncher.exe (Нет файла) HKLM-x32\...\Run: [] => [X] Virustotal: C:\ProgramData\svcr.exe File: C:\ProgramData\svcr.exe Virustotal: C:\ProgramData\removelastfolders.exe File: C:\ProgramData\removelastfolders.exe Virustotal: C:\Windows\system32\TSMSISrv.dll File: C:\Windows\system32\TSMSISrv.dll unlock: C:\Windows\ptmp Folder: C:\Windows\ptmp Unlock: C:\ProgramData\WRData Folder: C:\ProgramData\WRData StartBatch: del /s /q C:\Windows\Temp\*.* del /s /q "%userprofile%\AppData\Local\temp\*.*" sfc /scannow endbatch: File: C:\Windows\system32\wuauserv.dll File: C:\Windows\SysWOW64\wuauserv.dll End::
WBR,
Vadim
Готово.
Ещё одно исправление, пожалуйста, и новый Fixlog.txt приложите:И сделайте новый лог FRST (без addition.txt для скорости), посмотрите, этот фрагмент в нём будет присутствоват? Если нет - мы на правильном пути.Код:Start:: File: C:\Windows\System32\WUAUENG.DLL End::
==================== Службы (В белом списке) ===================
(Если запись включена в fixlist, она будет удалена из реестра. Файл не будет удалён, если он не указан отдельно.)
"!SASCORE" => служба был разблокирован. <==== ВНИМАНИЕ
"a2AntiMalware" => служба был разблокирован. <==== ВНИМАНИЕ
"Adguard Service" => служба был разблокирован. <==== ВНИМАНИЕ
"Chemtable Startup Checking" => служба был разблокирован. <==== ВНИМАНИЕ
"DUMeterSvc" => служба был разблокирован. <==== ВНИМАНИЕ
"EsgShKernel" => служба был разблокирован. <==== ВНИМАНИЕ
"GlassWire" => служба был разблокирован. <==== ВНИМАНИЕ
"gwdrv" => служба был разблокирован. <==== ВНИМАНИЕ
"KvMonXP.exe" => служба был разблокирован. <==== ВНИМАНИЕ
"MBAMProtector" => служба был разблокирован. <==== ВНИМАНИЕ
"MBAMSvc" => служба был разблокирован. <==== ВНИМАНИЕ
"mssecsvc2.0" => служба был разблокирован. <==== ВНИМАНИЕ
"MSSystem" => служба был разблокирован. <==== ВНИМАНИЕ
"RManService" => служба был разблокирован. <==== ВНИМАНИЕ
"SecureLine" => служба был разблокирован. <==== ВНИМАНИЕ
"Windows Locator Service (managed by AlwaysUpService)" => служба был разблокирован. <==== ВНИМАНИЕ
"WindowsDefend" => служба был разблокирован. <==== ВНИМАНИЕ
"wscsvs" => служба был разблокирован. <==== ВНИМАНИЕ
"_wfcs" => служба был разблокирован. <==== ВНИМАНИЕ
WBR,
Vadim
Исправление сделал, фрагмента нет. Лог прикрепляю.
DLL на месте, пробуйте твик реестра из вложения.
wuauserv.zip
После перезагрузки проверяйте обновление системы.
WBR,
Vadim
Твик применил, но при перезагрузке кажется что то пошло не так
Отпишусь, когда кто либо физически до сервера доберется.
Ну, то, что мы с ним творили, не должно было вызвать такие последствия.
WBR,
Vadim
На адаптере был выключен DHCP, почему он выключился после перезагрузки, непонятно. Центр обновления заработал, это радует.
Восстановление пока все также не работает, мб после обновлений все придет в норму...
Эт' вряд ли... (C) Товарищ Сухов
Пробуйте reg-файл, он для аналогичного билда 10-ки, надеюсь, прокатит на сервере.
VSS.zip
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
