На компьютере-сервере засел вирус [not-a-virus:Server-FTP.Win32.SFH.hp ]

[tchuiman]

Вложил оба файла - лог после запуска скрипта и еще раз сделал сканирование МВАМ

[regist]

Сделайте лог ComboFix

[tchuiman]

не дает, т.к. он не для серверов

[regist]

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

сделайте новый лог MBAM

[tchuiman]

Все сделал

- - - Добавлено - - -

После перезагрузки выдает опять что в браузере сохранена стартовая, описанная выше.
Иногда выдает сообщение, что неизвестна ошибка при загрузке Prassi Mastering
и вот такие данные
szAppName : spresrt.exe szAppVer : 2.1.0.358 szModName : mozjs.dll
szModVer : 0.0.0.0 offset : 00004cba

[thyrex]

Сделайте логи RSIT

[tchuiman]

Сделано

[thyrex]

C:\WINDOWS\Debug\wpdmtp.exe проверьте на virustotal
Ссылку на результат проверки сообщите

[tchuiman]

В папке Debug оказалось много файлов от Prassi - насколько я понял из гугла - раньше была крупным производителем хакерского софта, но тут думаю вы в курсе

https://www.virustotal.com/ru/file/f...is/1373265711/

[thyrex]

Файлы

Код:

C:\WINDOWS\system32\tfujTSw.exe
C:\WINDOWS\system32\OmcDpav.exe
C:\WINDOWS\system32\QBJDwsO.exe
C:\WINDOWS\system32\mCOoJty.exe
C:\WINDOWS\system32\gzQGXLi.exe
C:\WINDOWS\system32\cs.exe
C:\WINDOWS\system32\sKINSTALLERS_66_4511.exe
C:\WINDOWS\system32\bootKINSTALLERS_66_4511.exe
C:\WINDOWS\system32\c.exe
C:\WINDOWS\system32\gouri.bat
C:\WINDOWS\system32\sb.dat
C:\WINDOWS\system32\nanrenms.js
C:\WINDOWS\system32\nanren.txt

и папки

Код:

C:\WINDOWS\Debug
C:\sohucache
C:\WINDOWS\system32\i5736
C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E

запакуйтес паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Также выложите этот архив на обменник rghost.ru и пришлите ссылку

Обновления для MS SQL все установлены?

[tchuiman]

Готово, добавил туда еще несколько папок, вот почему - стал на досуге искать, что же за файлы такие эти qibin.vbe и ma.vbe - несколько раз к папке lls выходил.
Также поиски вывели на занятную папку C:\WINDOWS\WinSxS в которой также много чего судя по всему сидит
MICROSOFT.WORKFLOW.COMPILER.EXE.EXE - вот это например
InstallTemp - в ней же нашел такую папку. судя по реакции касперского на ее банальное открытие, там тоже чтото есть.
РЦµЬНшВз - вот еще такую папку нашел с таким же названием


C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E

оказались пустыми

Обновления для MS SQL все установлены? .

а как это проверить? просто боюсь что если начну обновлять, это может нарушить работу сервера.

[thyrex]

C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E

удаляйте

просто боюсь что если начну обновлять, это может нарушить работу сервера

У Вас похоже сетевой червяк, который как раз и использует дыры в MS SQL. Последняя версия у Вас установлена?

- - - Добавлено - - -

Не вижу от Вас нового карантина

[tchuiman]

Карантин загружается, скоро появится

- - - Добавлено - - -

А не подскажете как обновить MS SQL?

- - - Добавлено - - -

Карантин загрузился

[thyrex]

А не подскажете как обновить MS SQL?

Установить самую последнюю версию. Главное чтобы она не нарушила работоспособность ппрограмм, которые его используют

[tchuiman]

http://rghost.ru/47284558 - вот ссылка на Rghost

- - - Добавлено - - -

C:\Program Files\Microsoft SQL Server\MSSQL\Upgrade - вот там есть файл upgrade.exe - вот через этот файл можно обновить? или нужно скачивать?

[regist]

+ Пришлите в карантин ещё

Код:

C:\WINDOWS\DEBUG\BROWSER\SPRESRT.EXE

и поишите, если найдёте также пришлите файл
sethc.exe

+ 168.95.1.1 - Taiwan - эти DNS сами прописывали ?

[tchuiman]

168.95.1.1

Интернет-компания выдала

- - - Добавлено - - -

Не подскажете, чтобы обновить SQL - нужно заново скачивать его? или есть встроенный агент который поможет обновиться?

- - - Добавлено - - -

Загрузил карантин

[thyrex]

Интернет-компания выдала

Это в договоре так с провайдером???

[tchuiman]

Это в договоре так с провайдером???

да, у нас есть ряд выделенных айпи адресов, и в договоре прописан именно этот днс

- - - Добавлено - - -

Microsoft SQL Server Management Studio 10.0.1600.22 ((SQL_PreRelease).080709-1414 )
Microsoft Data Access Components (MDAC) 2000.086.3959.00 (srv03_sp2_rtm.070216-1710)
Microsoft MSXML 2.6 3.0 4.0 5.0 6.0
Microsoft Internet Explorer 8.0.6001.18702
Microsoft .NET Framework 2.0.50727.3643
Operating System 5.2.3790

- - - Добавлено - - -

не очень в этом понимаю, это означает что это последняя версия стоит?

[thyrex]

Microsoft SQL Server 2008 R2 - вот такая последняя версия вроде как доступная

- - - Добавлено - - -

Обновления искатть стоит на www.update.microsoft.com