Здравствуйте, обнаружил на RDP сервере процесс wasppaser.exe. Во время работы на сервере через RDP, мышка и все процессы периодически подвисает на 2-5 сек каждые 10-20сек.
логи :
Вложение 465910
Вложение 465911
Здравствуйте, обнаружил на RDP сервере процесс wasppaser.exe. Во время работы на сервере через RDP, мышка и все процессы периодически подвисает на 2-5 сек каждые 10-20сек.
логи :
Вложение 465910
Вложение 465911
Последний раз редактировалось Goga007; 11.03.2014 в 12:31.
Уважаемый(ая) Goga007, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin TerminateProcessByName('c:\windows\ehome\services.exe'); TerminateProcessByName('c:\windows\ehome\wmisrv.exe'); TerminateProcessByName('c:\program files\windows nt\accessories\wasp\wasppacer.exe'); TerminateProcessByName('c:\windows\amsql.exe'); QuarantineFile('c:\windows\ehome\services.exe',''); QuarantineFile('C:\Windows\java\trustlib\DPS.bat',''); QuarantineFile('c:\windows\ehome\wmisrv.exe',''); QuarantineFile('c:\program files\windows nt\accessories\wasp\wasppacer.exe',''); QuarantineFile('c:\windows\amsql.exe',''); QuarantineFileF('C:\Windows\java', '*', true,'', 0, 0, '', '', ''); QuarantineFileF('c:\windows\ehome', '*', true,'', 0, 0, '', '', ''); QuarantineFileF('c:\program files\windows nt\accessories\wasp', '*', true,'', 0, 0, '', '', ''); DeleteFile('C:\Windows\java\trustlib\DPS.bat'); DeleteFile('c:\windows\amsql.exe','32'); DeleteFile('c:\program files\windows nt\accessories\wasp\wasppacer.exe','32'); DeleteFile('c:\windows\ehome\wmisrv.exe','32'); DeleteFile('c:\windows\ehome\services.exe','32'); DeleteFileMask('C:\Windows\java','*',true); DeleteDirectory('C:\Windows\java'); DeleteFileMask('c:\windows\ehome','*',true); DeleteDirectory('c:\windows\ehome'); DeleteFileMask('c:\program files\windows nt\accessories\wasp','*',true); DeleteDirectory('c:\program files\windows nt\accessories\wasp'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте логи RSIT.
WBR,
Vadim
Почистил, перезапустил вот логи:Вложение 465964 ; Вложение 465965
Единственное во время сбора этих логов с компа были TCP соединения на:
217.212.252.168; 74.84.129.18; 23.64.217.83; 157.55.185.118
после сбора логов и завершения процесса ява консоли(висела в трее). Соединения прекратились.
Карантин вроде загрузился
Уже опять всё это хозяйство на сервер залили Прежде надо закрыть дыры, иначе лечить бесполезно.
Чтобы не повторяться - выполните рекомендации отсюда, для начала хотя бы первые 3 пункта.
Затем сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
WBR,
Vadim
Сделал так как написали, исправимся, обновления установлю, повторю лечение, пароли меняли месяц назад во время атак на сервер.
- - - Добавлено - - -
explorer 11 стоит, из обновлений было 2 необязательных для безопасности, установил, и 1 обновление указал АВЗ, поставил. вот новые логи:
Вложение 466037
Вложение 466038
Вложение 466039
Судя по логу AVZ, он последним делался, снова отложили личинку
Java обязательно обновите до 51-го билда.
Установлен MS SQL Server 2008 R2 RTM, как я понимаю. Дыр в нём предостаточно, и взламывают сервера очень часто именно через него. Пароли в нём тоже поменяли, надеюсь?
Список версий Microsoft SQL Server 2008_R2
По хорошему должен быть установлен MS SQL Server 2008 R2 SP2 CU10 (cumulative update 10), минимум просто SP2.
Брандмауэр должен быть настроен так, чтобы порты SQL-сервера были открыты только из локальной сети. Надеюсь, для доступа снаружи он не нужен? RDP тоже это касается - если используется для удалённого управления снаружи - доступ должен быть только с необходимого минимума адресов/подсетей.
Выполните скрипт в uVS:Перезагрузите сервер и сделайте через некоторое время, час-два, новый лог AVZ.Код:;uVS v3.82.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\SYSWOW64\CMDO.VBS zoo %SystemRoot%\system32\dhcp\DNS.bat dirzooex %SystemRoot%\system32\dhcp deldir %SystemRoot%\system32\dhcp zoo %SystemRoot%\SYSWOW64\CMSDLL.EXE delall %SystemRoot%\SYSWOW64\CMSDLL.EXE delall %SystemRoot%\ehome\wmisrv.exe deldir %SystemRoot%\ehome czoo
WBR,
Vadim
Здравствуйте, почистил, логи:
На момент последнего лога - чисто. Не расслабляйтесь, следите...
В папке с uVS должен быть архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
WBR,
Vadim
Архив загрузил, не расслабляемся накатываем обновления на SQl.
Подскажите еще пожалуйста пароль на архив Zoo? спасибо.
Ещё момент.
Не стоит с сервера выходить в интернет, пусть пользователи делают это со своих компьютеров.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Goga007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.