Показано с 1 по 12 из 12.

Взломали компьютер под Windows server 2003 и забрали файлы с диска! (заявка № 157247)

  1. #1
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17

    Взломали компьютер под Windows server 2003 и забрали файлы с диска!

    На компьютер под Win Server 2003 был разрешен доступ через удаленный рабочий стол из сети интернет. Так было пока не залезли на этот компьютер и не забрали все файлы с диска Д, оставив сообщение: "Если вас интересует ваша информация пишите на наш эл. адрес..." После этого доступ через Удаленный стол был запрещен и компьютер был проверен Dr.Web cureit в Safe mode - найденный зараженный файл был удален! Был установлен антивирус NOD ESS 4. Спустя месяц история повторилась 22_03_2014. Проверка Dr.Web Cureit, KaspRemTool, AVZ - ничего не находит! AVZ находит две службы Driver System (frnxolb) и Halper task (rimvaxmq) - удалить и отключить их не могу (даже в безопасном режиме под пользователем "Администратор") - пишет Отказано в доступе. На компьютере две учетные записи Администратор (встроенная) и SA - обе в группе Администраторы! После взлома комп., обнаружил что sa находилось еще и в группе "Debugger Users" - я её удалил из пользователя sa, но сама группа все еще существует! Помогите пожалуйста - это сервер работающего магазина! Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) Yuriy_86, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

    1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

    2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

    2. MS SQL сервер - также менять пароль на sa, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    4. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17

    Выкладываю отчет программы UVS

    Пароль обязательно заменю сейчас
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    На MS SQL Server 2000 SP3 обязательно накатите Cumulative Patch MS03-031.

    Сделайте лог Gmer в безопасном режиме. Затем можно перезагрузиться в обычный.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17

    Результат проверки Gmer

    Лог сделать не получилось из-за разрешения экрана (не видно кнопку Save) в безопасном режиме, смог скопировать только результат проверки (кнопка Copy)
    Вложения Вложения
    • Тип файла: txt Gmer.txt (6.0 Кб, 4 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Неполный лог. Попробуйте в обычном режиме сделать, галочки все поставьте, как на картинке.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17

    Лог программой Gmer в обычном режиме.

    После Проверки программой uVS обнаружил файл _uninst_67708088.bat в С/...sa/Temp и на время между вашими заданиями переименовывал его в _uninst_67708088.txt (во время проверки возвращал исходное расширение *.bat! Сегодня после проверки Gmer и создания лога который и прикрепляю к сообщению - обнаружил, что могу отключить и отключил Службы Driver System (frnxolb) и Halper task (rimvaxmq), чего не мог ранее и которые описывал в первом своем сообщении! Извините за излишнюю самостоятельность, но боюсь повторения той ситуации! Всё что сделал можно вернуть как было...!
    Вложения Вложения
    • Тип файла: log Gmer.log (12.3 Кб, 2 просмотров)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Цитата Сообщение от Yuriy_86 Посмотреть сообщение
    После Проверки программой uVS обнаружил файл _uninst_67708088.bat в С/...sa/Temp
    Это деинсталлятор от Kaspersky Virus Removal Tool? можете просто удалить.

    А службы эти - просто пустышки, вреда они не принесут.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17
    В чем же тогда проблема и как ко мне смогли попасть на компьютер...?!!! Я знаю точно, что закрывал доступ через Удаленный рабочий стол (снимал галочки в Мой Комп-Свойства-Удаленное использование), но после взлома он опять был разрешен! Компьютер сейчас без доступа к и-нету...но он на нем должен быть...включу - опять залезут...!!!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,838
    Вес репутации
    842
    Ещё раз перечитайте сообщение #3.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    24.05.2013
    Сообщений
    13
    Вес репутации
    17
    Спасибо за помощь! Буду пробовать!

  • Уважаемый(ая) Yuriy_86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помошь по windows server 2003 r2
      От PuHo4eT в разделе Microsoft Windows
      Ответов: 7
      Последнее сообщение: 29.06.2010, 20:55
    2. windows server 2003
      От алдар в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2009, 11:52
    3. Windows Server 2003 SP1
      От VK_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.10.2009, 13:19
    4. Вышел Service Pack 2 для ОС Windows Server 2003 и Windows XP x64bit
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 16.03.2007, 13:58
    5. Windows Server 2003 R2 RC0 доступен для скачки
      От Shu_b в разделе Софт - общий
      Ответов: 0
      Последнее сообщение: 01.09.2005, 07:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00736 seconds with 17 queries