Показано с 1 по 14 из 14.

Вирусы на windows Server 2003 СРОЧНО. (заявка № 139934)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22

    Вирусы на windows Server 2003 СРОЧНО.

    В общем, началось всё с того, что коллега забыл включить файерволл на серваке, а айпишник белый, внешний и присвоен сетевухе. Собссно, после этого нереально возрос траффик, ну я быстрой проверкой нодом чтото обнаружил, удалил и перезагрузился. После этого, трафик упал. Но! Ни одна программа, не браузеры, не антивирус, не аська не могли черпать интернет. При всем этом пинги уходили хоть куда, и в локальной сети, и в глобал. Спустя некоторое время, мне надоело обновлять консультанта и антивирь с флешке и решил проверить на вирусы. прогнал полную проверку нодом и быструю проверку авз, чтото вспыло, после чего перезагрузившись, обнаружил что инэт пропал, пинги ни в локал, ни в глобал не уходят.
    Запустил salitykiller.exe и Anti-Downadup-graphics.exe, после чего перезагрузившись всё починилось. пользуясь случаем, решил поставить 5ю версию Есет смарт секьюрити(из-за кое-какой несовместимости 4,2 и пары програм из бухгалтерии). В общем, всё заработало ништяк, настройки я импортировал в 5ю версию из 4,2 и в бухгалтерии всё заработало.
    Но на утро обнаружил, что локальный трафик пропал и бухи не могут работать(инэт пропал в локальной по всей организации), так же обнаружил, что антивирь стабильно удаляет кое-какие файлы, которые потом опять поднимаются... Собссн, локальная сеть поднимается после перезагрузки. При всём этом, глобальный инэт работал и комп я перезапускал из дома.

    Вся печаль в том, что на работе областная проверка и постоянно ребутить серв не вариант. Ай нид хелп.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) djlens, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Логи rsit


    - - - Добавлено - - -

    в общем, всё усугубилось. после перезапуска что-то лезет на 61.160.223.118 по ftp. я файерволлом запретил это делать. но хоть запрещай, хоть разрешай, служба Брандмауэр Windows/Общий доступ к Интернету (ICS) отрубается через короткий период времени и инэт в локалке пропадает. приходится запускать вручную периодически.. Ах да, еще выскакиевает окно и торчит до тех пор пока я файерволом не запрещу или не разрешу.Вложение 421800

    - - - Добавлено - - -

    лог MBAM

    - - - Добавлено - - -

    Вчера антивирь выдавал Win32/ServStart.CL, BAT/TrojanDownloader.Ftp.NOK
    Сегодня добавился Win32/Farfli.TS
    Последний раз редактировалось djlens; 06.06.2013 в 05:31.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,875
    Вес репутации
    843
    Скачайте и распакуйте полностью по ссылкам отсюда Universal Virus Sniffer (uVS).
    Временно отключите антивирусы. В MBAM активирован пробный режим, чего не следовало делать, теперь в системе два антивируса, могут быть конфликты между ними.
    Выполните скрипт в uVS
    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    zoo C:\WINDOWS\hfs.exe
    zoo C:\WINDOWS\system32\s33.exe
    zoo C:\WINDOWS\system32\cs.exe
    zoo C:\RECYCLER\s33.exe
    zoo C:\RECYCLER\st33.exe
    delall C:\WINDOWS\system32\s33.exe
    delall C:\WINDOWS\system32\cs.exe
    delall C:\RECYCLER\s33.exe
    delall C:\RECYCLER\st33.exe
    adddir C:\WINDOWS\system32\ISQL
    adddir C:\WINDOWS\system32\Network
    adddir C:\WINDOWS\Offline Web Pages
    adddir C:\RECYCLER
    crimg
    Будет автоматически создан полный образ автозапуска, прикрепите его к своему следующему сообщению.
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Смените администраторские пароли, ограничьте доступ к серверу извне, если есть такая возможность.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Прикрепил архив.

    В общем, поехал в контору отрубать инэт, менять пароли и запускать скрипты из локала.. через час отпишусь.

    - - - Добавлено - - -

    В общем, пока всё ништяк. Уязвимости не найдены. Пароли сменил. ФТП заблокировал фаерволл поставил в интеррактивный режим и теперь вижу. что ломится.
    ОГРОМНОЕ СПАСИБО!

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,875
    Вес репутации
    843
    Насчёт уязвимостей - не уверен, на старую Оперу ругаться скрипт должен был.
    В общем, ничего опасного, хвосты только подчистить. Выполните скрипт в uVS:
    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    delref %SystemRoot%\SVCHCOT.EXE
    delref %SystemDrive%\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE
    Лог RSIT ещё сделайте.
    WBR,
    Vadim

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Прикрепляю log RSIT

    Так же файервол показал, что C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe пытается послать запросы на ip 121.11.151.71 и 121.11.151.212. Куда то в Китай. Собссно, я ему запретил это делать. Что это может быть вообще?

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,875
    Вес репутации
    843
    Это популярный метод взлома - через MS SQL Server. Меняйте и на нём пароли. У Вас MS SQL Server 2000 версия 8.00.2066, читайте MS08-040: уязвимости сервера Microsoft SQL Server делают возможным несанкционированное получение прав и обновляйте.
    Хорошо бы ещё закрыть к нему доступ снаружи. Как выход в интернет осуществляется?

    И видно признаки червя W32/Morto.
    Запакуйте с паролем virus следующие файлы:
    Код:
    2013-06-06 18:44:58 ----A---- C:\WINDOWS\system32\lla.bat
    2013-06-06 18:44:39 ----A---- C:\WINDOWS\system32\cs.exe
    2013-06-06 06:06:43 ----A---- C:\WINDOWS\system32\Sens32.dll
    и загрузите в карантин.
    WBR,
    Vadim

  12. Это понравилось:


  13. #9
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Карантин отправил. Файлы эти удалять из системной папки?

    По поводу выхода в интернет. От провайдера идет оптика. От оптики витая пара на прямую в сервак. Прописан статический ip. Всё. Так приходит инэт. Стоит EsetSS. инэт раздаётся через вторую сетевуху на сервере через кучу свичей почти на 50 машин.
    Ирония в том, что временами на сервак через MSTSC.exe залазит областное управление конторой и что-то делает, не сообщая мне. Собссн, из-за этого мне не всегда удаётся отследить изменения в системе со стороны вредителей.

    Насчет матчасти про уязвимости sql server, только что начал активно изучать.

    - - - Добавлено - - -

    Сорри. я случайно заместо sens32.dll залил sens.dll. сейчас перезалил архив. Файл сохранён как 130606_174005_system32_51b0c9757abfb.zip

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,875
    Вес репутации
    843
    По хорошему, должен стоять железный файрвол/роутер, а уж через него все будут выходить в интернет.
    Надо тогда настроить файрвол на сервере, чтобы доступ давать по RDP только из тех сетей, из которых это необходимо, а SQL серверу закрыть доступ наружу исходящий, и входящие разрешить только из локальной сети. И пароли на терминальный доступ настоятельно рекомендую сменить, все, не только с админскими правами.

    - - - Добавлено - - -

    Да, C:\WINDOWS\system32\lla.bat и C:\WINDOWS\system32\cs.exe удаляйте, C:\WINDOWS\system32\Sens32.dll он вроде как на самом деле Sens.dll переименованный и в сервисах он не так, как должно быть прописан. Пауза, надо поточнее с ним разобраться.
    WBR,
    Vadim

  15. Это понравилось:


  16. #11
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Денег на нормальный роутер не дадут. Они на стабилизатор то дали, после того, как второй серв после грозы умер. Пароли поменяю завтра, когда буду рядом с пользователями. С RDP и айпишниками проблема. Я на контору один, к тому же постоянно в разъездах на других объектах и в добавок скоро уезжаю в отпуск. Часто администрирую 1С с планшетника, собссн. айпишник постоянно меняется. SQL наружу заблокирован, в локалке оставлен на входящие. Sens32.dll и Sens.dll остались.

    - - - Добавлено - - -

    Сторонние проги для доступа к серверу, по надежности и безопасности не знаю, какие использовать. В интернете пишут мусор.

  17. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,875
    Вес репутации
    843
    Remote Administrator версии 3.* вполне надёжен.
    WBR,
    Vadim

  18. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  19. #14
    Junior Member Репутация
    Регистрация
    03.04.2012
    Сообщений
    18
    Вес репутации
    22
    Попробую реализовать. Спасибо за помощь. Пароли сменил. SQL пока, к сржалению, обновлнять не буду, дабы Это под юриздикцией Вышестоящих органов. Если полезу, не так поймут. А так всё замечательно! Еще раз спасибо за помощь!

    - - - Добавлено - - -

    Сегодня днем начал отваливаться в службах Брандмауэр Windows/Общий доступ к Интернету (ICS)
    прикрепляю логи.

  • Уважаемый(ая) djlens, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. windows server 2003
      От алдар в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2009, 11:52
    2. Windows Server 2003 SP1
      От VK_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.10.2009, 13:19
    3. Вирусы, Windows Server 2003, не выводит на печать
      От Ray11 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.01.2009, 09:24
    4. Вышел Service Pack 2 для ОС Windows Server 2003 и Windows XP x64bit
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 16.03.2007, 13:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01426 seconds with 16 queries