Вирус Webisida на сервере Windows Server 2008 R2 x64 [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.= Agent.bcny]

[Sandor]

Пароли на RDP нужно сменить

Сменили?

в командной строке отражаются пользователи, которых вообще нет в системе

Поясните, как именно вы смотрите?

Папку

C:\ProgramData\AMMYY

удалите вручную.

[Jobby]

Для своего пароль изменен, а для других кнопка сменить пароль недоступна, хотя захожу под админом.
Смотрю через команду net user.
Папка удалена.

[Jobby]

Пароли сменены.

[Vvvyg]

Удалите таких пользователей и создайте снова.

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=2:lc=0:d=48m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS. Если нет места для вложений - ссылку на архив.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 226
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\la=
     uncher.exe - not-a-virus:UDS:RiskTool.Win32.Agent.bcny
  2. c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\wa=
     sp.exe - not-a-virus:RiskTool.Win32.Agent.amrp
  3. c:\windows\inf\netlibrariestip\0009\v3.5.56385\104 9\5.0\wa=
     spwing.exe - not-a-virus:RiskTool.Win32.Agent.amrm