подозрение на троян.
подозрение на троян.
Уважаемый(ая) dlelikov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи сделаны в терминальной сесии, сделайте их из консоли.
ЛОГИ СДЕЛАНЫ ИЗ КОНСОЛИ
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin SearchRootkit(true, true); TerminateProcessByName('c:\windows\ehome\wmisrv.exe'); TerminateProcessByName('c:\windows\system32\microsoft\svchost.exe'); TerminateProcessByName('c:\windows\ehome\svchost.exe'); QuarantineFile('C:\WINDOW5\system32\safesurf.exe',''); QuarantineFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe',''); QuarantineFile('c:\windows\ehome\wmisrv.exe',''); QuarantineFile('c:\windows\system32\microsoft\svchost.exe',''); QuarantineFile('c:\windows\ehome\svchost.exe',''); DeleteFile('c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe', '32'); DeleteFile('C:\WINDOW5\system32\safesurf.exe'); DeleteFile('c:\windows\ehome\svchost.exe','32'); DeleteFile('c:\windows\system32\microsoft\svchost.exe','32'); DeleteFile('c:\windows\ehome\wmisrv.exe','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Admin','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Desktop_Locker_456'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\user1','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SJ^','command'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
Можно из терминального режима.
Последний раз редактировалось mike 1; 29.09.2014 в 17:58. Причина: Убрана команда DeleteFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe','32');
WBR,
Vadim
Образ автозапуска
Выполните скрипт в uVS:Перезагрузите сервер.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c ; C:\DOCUMENTS AND SETTINGS\USER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 24 Trojan.Win32.Fsysna.aklw [Kaspersky] ; C:\DOCUMENTS AND SETTINGS\USER2\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER3\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER4\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\ADM\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\ADMO\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER6\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\ASP.NET\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER1.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER2.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER3.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\USER4.SERVER1\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\ROXAN\APPLICATION DATA\MICROSOFT\SVCHOST.EXE ; C:\PROGRAM FILES\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\CHECKERBLOCKMAIL.EXE ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROGGRAMS\ALL-IN-ONE CHECKER.EXE ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\ALL-IN-ONE CHECKER231\ALL-IN-ONE CHECKER231.EXE ; C:\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MAILRUCHCKR_3\MAILRUCHECKER_14.EXE ; C:\PROGRAM FILES\ACD SYSTEMS\PLUGINS\PLUGIN\COPY\WJDCHECKM.EXE addsgn A7679B19919AF4F6BA98AE591468E1FA8426C9BB89711F90C5EB3F43F17A4401239CC3E53FBDF30CD17F2533735B49717D65847C18DA58110F8D5BA4CAD2143E 24 Win32/HackTool.BruteForce.IE [ESET-NOD3 ; C:\WINDOWS\SYSTEM32\COPY\COPY\WJDCHECKM.EXE ; C:\WINDOWS\SYSTEM32\COPY\COPY2\WJDCHECKM.EXE ; C:\WINDOWS\SYSTEM32\COPY\COPY3\WJDCHECKM.EXE ; C:\WINDOWS\SYSTEM32\COPY\COPY4\WJDCHECKM.EXE ; C:\WINDOWS\SYSTEM32\COPY\COPY5\WJDCHECKM.EXE ; C:\WINDOWS\SYSTEM32\COPY\1\SHELLSCHECKER.EXE hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLSAC.EXE hide %SystemDrive%\PROGRAM FILES\MICROSOFT SQL SERVER\90\SHARED\SQLWTSN.EXE hide %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V4.0.30319\SMSVCHOST.EXE hide %SystemRoot%\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WPF\PRESENTATIONFONTCACHE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\215.123.20.155.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADM\DESKTOP\КРЯК.EXE zoo %Sys32%\SVCHОST.EXE delall %Sys32%\SVCHОST.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER3.SERVER1\LOCAL SETTINGS\TEMP\1\WIUPDAT.EXE chklst delvir zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\AMSSCHED.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER6\DESKTOP\DUBRUTE_2.1 НА ДЕДАХ\DUBRUTE.EXE zoo D:\FASTOPERATOR\USER1\FASTOPERATOR.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\INSTALL.CMD zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\MMCHECKER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN1\DESKTOP\PROJECT1.EXE zoo %SystemRoot%\SYSTEM\SOUND.EXE delall %SystemRoot%\SYSTEM\SOUND.EXE zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MAILPROCESSOR.EXE zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\AMSENT\MASSSENDER.EXE delref %SystemDrive%\RECYCLER\S-1-5-21-664997554-594091240-2026364968-1920\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\.EXE delref E:\IZUVAS\IZCIPICA.EXE delref G:\IZUVAS\IZCIPICA.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MAIL.RU\AGENT\MAGENT.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ADMIN.EXE delref %SystemDrive%\DOCUME~1\ADM\LOCALS~1\TEMP\1\MSDCSC\MSDCSC.EXE czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
Обратите внимание на файлы и ярлыки в профилях учётных записей ADM и ADMIN1, похоже, хакеры порезвились.
Замените пароли администраторов и учёток, имеющих удалённый доступ к серверу по RDP.
Удалите неизвестные и неиспользуемые учётные записи.
У кого права администратора были не по делу - понизить до обычного пользователя.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Установите все обновления безопасности на систему - начиная с SP2 и IE 8 (обязательно!) и все последующие хотя бы критические и важные обновления. Контролировать таким скриптом в AVZ (запускать при наличии доступа в интернет):
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\microsoft\svchost.exe - Trojan.Win32.Fsysna.aklw ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )
- c:\program files\msbuild\microsoft\windows workflow foundation\v2.5\svchost.exe - not-a-virus:RiskTool.Win32.AlwaysUp
- c:\windows\ehome\svchost.exe - not-a-virus:RiskTool.Win32.AlwaysUp
- c:\windows\system32\microsoft\svchost.exe - Trojan.Win32.Fsysna.aklw ( BitDefender: Backdoor.Generic.920753, AVAST4: Win32:Malware-gen )
Уважаемый(ая) dlelikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.