-
Junior Member
- Вес репутации
- 44
Вирусы на windows Server 2003 СРОЧНО.
В общем, началось всё с того, что коллега забыл включить файерволл на серваке, а айпишник белый, внешний и присвоен сетевухе. Собссно, после этого нереально возрос траффик, ну я быстрой проверкой нодом чтото обнаружил, удалил и перезагрузился. После этого, трафик упал. Но! Ни одна программа, не браузеры, не антивирус, не аська не могли черпать интернет. При всем этом пинги уходили хоть куда, и в локальной сети, и в глобал. Спустя некоторое время, мне надоело обновлять консультанта и антивирь с флешке и решил проверить на вирусы. прогнал полную проверку нодом и быструю проверку авз, чтото вспыло, после чего перезагрузившись, обнаружил что инэт пропал, пинги ни в локал, ни в глобал не уходят.
Запустил salitykiller.exe и Anti-Downadup-graphics.exe, после чего перезагрузившись всё починилось. пользуясь случаем, решил поставить 5ю версию Есет смарт секьюрити(из-за кое-какой несовместимости 4,2 и пары програм из бухгалтерии). В общем, всё заработало ништяк, настройки я импортировал в 5ю версию из 4,2 и в бухгалтерии всё заработало.
Но на утро обнаружил, что локальный трафик пропал и бухи не могут работать(инэт пропал в локальной по всей организации), так же обнаружил, что антивирь стабильно удаляет кое-какие файлы, которые потом опять поднимаются... Собссн, локальная сеть поднимается после перезагрузки. При всём этом, глобальный инэт работал и комп я перезапускал из дома.
Вся печаль в том, что на работе областная проверка и постоянно ребутить серв не вариант. Ай нид хелп.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) djlens, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 44
Логи rsit
- - - Добавлено - - -
в общем, всё усугубилось. после перезапуска что-то лезет на 61.160.223.118 по ftp. я файерволлом запретил это делать. но хоть запрещай, хоть разрешай, служба Брандмауэр Windows/Общий доступ к Интернету (ICS) отрубается через короткий период времени и инэт в локалке пропадает. приходится запускать вручную периодически.. Ах да, еще выскакиевает окно и торчит до тех пор пока я файерволом не запрещу или не разрешу.Вложение 421800
- - - Добавлено - - -
лог MBAM
- - - Добавлено - - -
Вчера антивирь выдавал Win32/ServStart.CL, BAT/TrojanDownloader.Ftp.NOK
Сегодня добавился Win32/Farfli.TS
Последний раз редактировалось djlens; 06.06.2013 в 06:31.
-
Скачайте и распакуйте полностью по ссылкам отсюда Universal Virus Sniffer (uVS).
Временно отключите антивирусы. В MBAM активирован пробный режим, чего не следовало делать, теперь в системе два антивируса, могут быть конфликты между ними.
Выполните скрипт в uVS
Код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo C:\WINDOWS\hfs.exe
zoo C:\WINDOWS\system32\s33.exe
zoo C:\WINDOWS\system32\cs.exe
zoo C:\RECYCLER\s33.exe
zoo C:\RECYCLER\st33.exe
delall C:\WINDOWS\system32\s33.exe
delall C:\WINDOWS\system32\cs.exe
delall C:\RECYCLER\s33.exe
delall C:\RECYCLER\st33.exe
adddir C:\WINDOWS\system32\ISQL
adddir C:\WINDOWS\system32\Network
adddir C:\WINDOWS\Offline Web Pages
adddir C:\RECYCLER
crimg
Будет автоматически создан полный образ автозапуска, прикрепите его к своему следующему сообщению.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Смените администраторские пароли, ограничьте доступ к серверу извне, если есть такая возможность.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-
-
Junior Member
- Вес репутации
- 44
Прикрепил архив.
В общем, поехал в контору отрубать инэт, менять пароли и запускать скрипты из локала.. через час отпишусь.
- - - Добавлено - - -
В общем, пока всё ништяк. Уязвимости не найдены. Пароли сменил. ФТП заблокировал фаерволл поставил в интеррактивный режим и теперь вижу. что ломится.
ОГРОМНОЕ СПАСИБО!
-
Насчёт уязвимостей - не уверен, на старую Оперу ругаться скрипт должен был.
В общем, ничего опасного, хвосты только подчистить. Выполните скрипт в uVS:
Код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.2
delref %SystemRoot%\SVCHCOT.EXE
delref %SystemDrive%\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE
Лог RSIT ещё сделайте.
-
-
Junior Member
- Вес репутации
- 44
Прикрепляю log RSIT
Так же файервол показал, что C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe пытается послать запросы на ip 121.11.151.71 и 121.11.151.212. Куда то в Китай. Собссно, я ему запретил это делать. Что это может быть вообще?
-
Это популярный метод взлома - через MS SQL Server. Меняйте и на нём пароли. У Вас MS SQL Server 2000 версия 8.00.2066, читайте MS08-040: уязвимости сервера Microsoft SQL Server делают возможным несанкционированное получение прав и обновляйте.
Хорошо бы ещё закрыть к нему доступ снаружи. Как выход в интернет осуществляется?
И видно признаки червя W32/Morto.
Запакуйте с паролем virus следующие файлы:
Код:
2013-06-06 18:44:58 ----A---- C:\WINDOWS\system32\lla.bat
2013-06-06 18:44:39 ----A---- C:\WINDOWS\system32\cs.exe
2013-06-06 06:06:43 ----A---- C:\WINDOWS\system32\Sens32.dll
и загрузите в карантин.
-
-
Junior Member
- Вес репутации
- 44
Карантин отправил. Файлы эти удалять из системной папки?
По поводу выхода в интернет. От провайдера идет оптика. От оптики витая пара на прямую в сервак. Прописан статический ip. Всё. Так приходит инэт. Стоит EsetSS. инэт раздаётся через вторую сетевуху на сервере через кучу свичей почти на 50 машин.
Ирония в том, что временами на сервак через MSTSC.exe залазит областное управление конторой и что-то делает, не сообщая мне. Собссн, из-за этого мне не всегда удаётся отследить изменения в системе со стороны вредителей.
Насчет матчасти про уязвимости sql server, только что начал активно изучать.
- - - Добавлено - - -
Сорри. я случайно заместо sens32.dll залил sens.dll. сейчас перезалил архив. Файл сохранён как 130606_174005_system32_51b0c9757abfb.zip
-
По хорошему, должен стоять железный файрвол/роутер, а уж через него все будут выходить в интернет.
Надо тогда настроить файрвол на сервере, чтобы доступ давать по RDP только из тех сетей, из которых это необходимо, а SQL серверу закрыть доступ наружу исходящий, и входящие разрешить только из локальной сети. И пароли на терминальный доступ настоятельно рекомендую сменить, все, не только с админскими правами.
- - - Добавлено - - -
Да, C:\WINDOWS\system32\lla.bat и C:\WINDOWS\system32\cs.exe удаляйте, C:\WINDOWS\system32\Sens32.dll он вроде как на самом деле Sens.dll переименованный и в сервисах он не так, как должно быть прописан. Пауза, надо поточнее с ним разобраться.
-
-
Junior Member
- Вес репутации
- 44
Денег на нормальный роутер не дадут. Они на стабилизатор то дали, после того, как второй серв после грозы умер. Пароли поменяю завтра, когда буду рядом с пользователями. С RDP и айпишниками проблема. Я на контору один, к тому же постоянно в разъездах на других объектах и в добавок скоро уезжаю в отпуск. Часто администрирую 1С с планшетника, собссн. айпишник постоянно меняется. SQL наружу заблокирован, в локалке оставлен на входящие. Sens32.dll и Sens.dll остались.
- - - Добавлено - - -
Сторонние проги для доступа к серверу, по надежности и безопасности не знаю, какие использовать. В интернете пишут мусор.
-
Remote Administrator версии 3.* вполне надёжен.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
-
Junior Member
- Вес репутации
- 44
Попробую реализовать. Спасибо за помощь. Пароли сменил. SQL пока, к сржалению, обновлнять не буду, дабы Это под юриздикцией Вышестоящих органов. Если полезу, не так поймут. А так всё замечательно! Еще раз спасибо за помощь!
- - - Добавлено - - -
Сегодня днем начал отваливаться в службах Брандмауэр Windows/Общий доступ к Интернету (ICS)
прикрепляю логи.