Вирусы на windows Server 2003 СРОЧНО.

[djlens]

В общем, началось всё с того, что коллега забыл включить файерволл на серваке, а айпишник белый, внешний и присвоен сетевухе. Собссно, после этого нереально возрос траффик, ну я быстрой проверкой нодом чтото обнаружил, удалил и перезагрузился. После этого, трафик упал. Но! Ни одна программа, не браузеры, не антивирус, не аська не могли черпать интернет. При всем этом пинги уходили хоть куда, и в локальной сети, и в глобал. Спустя некоторое время, мне надоело обновлять консультанта и антивирь с флешке и решил проверить на вирусы. прогнал полную проверку нодом и быструю проверку авз, чтото вспыло, после чего перезагрузившись, обнаружил что инэт пропал, пинги ни в локал, ни в глобал не уходят.
Запустил salitykiller.exe и Anti-Downadup-graphics.exe, после чего перезагрузившись всё починилось. пользуясь случаем, решил поставить 5ю версию Есет смарт секьюрити(из-за кое-какой несовместимости 4,2 и пары програм из бухгалтерии). В общем, всё заработало ништяк, настройки я импортировал в 5ю версию из 4,2 и в бухгалтерии всё заработало.
Но на утро обнаружил, что локальный трафик пропал и бухи не могут работать(инэт пропал в локальной по всей организации), так же обнаружил, что антивирь стабильно удаляет кое-какие файлы, которые потом опять поднимаются... Собссн, локальная сеть поднимается после перезагрузки. При всём этом, глобальный инэт работал и комп я перезапускал из дома.

Вся печаль в том, что на работе областная проверка и постоянно ребутить серв не вариант. Ай нид хелп.

[Info_bot]

Уважаемый(ая) djlens, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[djlens]

Логи rsit


- - - Добавлено - - -

в общем, всё усугубилось. после перезапуска что-то лезет на 61.160.223.118 по ftp. я файерволлом запретил это делать. но хоть запрещай, хоть разрешай, служба Брандмауэр Windows/Общий доступ к Интернету (ICS) отрубается через короткий период времени и инэт в локалке пропадает. приходится запускать вручную периодически.. Ах да, еще выскакиевает окно и торчит до тех пор пока я файерволом не запрещу или не разрешу.Вложение 421800

- - - Добавлено - - -

лог MBAM

- - - Добавлено - - -

Вчера антивирь выдавал Win32/ServStart.CL, BAT/TrojanDownloader.Ftp.NOK
Сегодня добавился Win32/Farfli.TS

[Vvvyg]

Скачайте и распакуйте полностью по ссылкам отсюда Universal Virus Sniffer (uVS).
Временно отключите антивирусы. В MBAM активирован пробный режим, чего не следовало делать, теперь в системе два антивируса, могут быть конфликты между ними.
Выполните скрипт в uVS

Код:

;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo C:\WINDOWS\hfs.exe
zoo C:\WINDOWS\system32\s33.exe
zoo C:\WINDOWS\system32\cs.exe
zoo C:\RECYCLER\s33.exe
zoo C:\RECYCLER\st33.exe
delall C:\WINDOWS\system32\s33.exe
delall C:\WINDOWS\system32\cs.exe
delall C:\RECYCLER\s33.exe
delall C:\RECYCLER\st33.exe
adddir C:\WINDOWS\system32\ISQL
adddir C:\WINDOWS\system32\Network
adddir C:\WINDOWS\Offline Web Pages
adddir C:\RECYCLER
crimg

Будет автоматически создан полный образ автозапуска, прикрепите его к своему следующему сообщению.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Смените администраторские пароли, ограничьте доступ к серверу извне, если есть такая возможность.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[djlens]

Прикрепил архив.

В общем, поехал в контору отрубать инэт, менять пароли и запускать скрипты из локала.. через час отпишусь.

- - - Добавлено - - -

В общем, пока всё ништяк. Уязвимости не найдены. Пароли сменил. ФТП заблокировал фаерволл поставил в интеррактивный режим и теперь вижу. что ломится.
ОГРОМНОЕ СПАСИБО!

[Vvvyg]

Насчёт уязвимостей - не уверен, на старую Оперу ругаться скрипт должен был.
В общем, ничего опасного, хвосты только подчистить. Выполните скрипт в uVS:

Код:

;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.2

delref %SystemRoot%\SVCHCOT.EXE
delref %SystemDrive%\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE

Лог RSIT ещё сделайте.

[djlens]

Прикрепляю log RSIT

Так же файервол показал, что C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe пытается послать запросы на ip 121.11.151.71 и 121.11.151.212. Куда то в Китай. Собссно, я ему запретил это делать. Что это может быть вообще?

[Vvvyg]

Это популярный метод взлома - через MS SQL Server. Меняйте и на нём пароли. У Вас MS SQL Server 2000 версия 8.00.2066, читайте MS08-040: уязвимости сервера Microsoft SQL Server делают возможным несанкционированное получение прав и обновляйте.
Хорошо бы ещё закрыть к нему доступ снаружи. Как выход в интернет осуществляется?

И видно признаки червя W32/Morto.
Запакуйте с паролем virus следующие файлы:

Код:

2013-06-06 18:44:58 ----A---- C:\WINDOWS\system32\lla.bat
2013-06-06 18:44:39 ----A---- C:\WINDOWS\system32\cs.exe
2013-06-06 06:06:43 ----A---- C:\WINDOWS\system32\Sens32.dll

и загрузите в карантин.

[djlens]

Карантин отправил. Файлы эти удалять из системной папки?

По поводу выхода в интернет. От провайдера идет оптика. От оптики витая пара на прямую в сервак. Прописан статический ip. Всё. Так приходит инэт. Стоит EsetSS. инэт раздаётся через вторую сетевуху на сервере через кучу свичей почти на 50 машин.
Ирония в том, что временами на сервак через MSTSC.exe залазит областное управление конторой и что-то делает, не сообщая мне. Собссн, из-за этого мне не всегда удаётся отследить изменения в системе со стороны вредителей.

Насчет матчасти про уязвимости sql server, только что начал активно изучать.

- - - Добавлено - - -

Сорри. я случайно заместо sens32.dll залил sens.dll. сейчас перезалил архив. Файл сохранён как 130606_174005_system32_51b0c9757abfb.zip

[Vvvyg]

По хорошему, должен стоять железный файрвол/роутер, а уж через него все будут выходить в интернет.
Надо тогда настроить файрвол на сервере, чтобы доступ давать по RDP только из тех сетей, из которых это необходимо, а SQL серверу закрыть доступ наружу исходящий, и входящие разрешить только из локальной сети. И пароли на терминальный доступ настоятельно рекомендую сменить, все, не только с админскими правами.

- - - Добавлено - - -

Да, C:\WINDOWS\system32\lla.bat и C:\WINDOWS\system32\cs.exe удаляйте, C:\WINDOWS\system32\Sens32.dll он вроде как на самом деле Sens.dll переименованный и в сервисах он не так, как должно быть прописан. Пауза, надо поточнее с ним разобраться.

[djlens]

Денег на нормальный роутер не дадут. Они на стабилизатор то дали, после того, как второй серв после грозы умер. Пароли поменяю завтра, когда буду рядом с пользователями. С RDP и айпишниками проблема. Я на контору один, к тому же постоянно в разъездах на других объектах и в добавок скоро уезжаю в отпуск. Часто администрирую 1С с планшетника, собссн. айпишник постоянно меняется. SQL наружу заблокирован, в локалке оставлен на входящие. Sens32.dll и Sens.dll остались.

- - - Добавлено - - -

Сторонние проги для доступа к серверу, по надежности и безопасности не знаю, какие использовать. В интернете пишут мусор.

[Vvvyg]

Remote Administrator версии 3.* вполне надёжен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены

[djlens]

Попробую реализовать. Спасибо за помощь. Пароли сменил. SQL пока, к сржалению, обновлнять не буду, дабы Это под юриздикцией Вышестоящих органов. Если полезу, не так поймут. А так всё замечательно! Еще раз спасибо за помощь!

- - - Добавлено - - -

Сегодня днем начал отваливаться в службах Брандмауэр Windows/Общий доступ к Интернету (ICS)
прикрепляю логи.