Показано с 1 по 20 из 20.

Windows Server 2003 x64 SP2 - огромное количество исходящих TCP соединений по smtp порту [Trojan-Dropper.Win32.Dorifel.amnm ] (заявка № 166799)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35

    Windows Server 2003 x64 SP2 - огромное количество исходящих TCP соединений по smtp порту [Trojan-Dropper.Win32.Dorifel.amnm ]

    Собственно проблема в заголовке. Соединение идут по порту 25, на разные ip адреса. Сервер работает как терминальный.
    Очень надеюсь на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) geek_tmb, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    c:\programdata\schedule\timetasks.exe сами устанавливали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    Цитата Сообщение от thyrex Посмотреть сообщение
    c:\programdata\schedule\timetasks.exe сами устанавливали?
    Сам не устанавливал, левая программа

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
     QuarantineFile('c:\programdata\schedule\timetasks.exe','');
     DeleteFile('c:\programdata\schedule\timetasks.exe','32');
     DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9U7C6V4J5D2GZYVGYDEAAENRGNLP','command');
     DeleteFileMask('c:\programdata\schedule','*',true);
     DeleteDirectory('c:\programdata\schedule');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteSysClean;
    end.
    Перезагрузите сервер вручную.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    Сделал
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Похоже, что взломан сервер...

    Это хозяйство:
    Код:
    C:\DOCUMENTS AND SETTINGS\SINA\РАБОЧИЙ СТОЛ\HIDEN\HIDE_USER.EXE
    C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDE_USER.EXE
    Ваше?

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\INSTL_TMP.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\INSTL_TMP.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\TPQLKSLN.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\TPQLKSLN.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    delall %SystemDrive%\PROGRA~2\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE
    delref HTTP://US.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://WWW.YAHOO.COM
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DESKTOPY.RU\DESKTOPY.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DESKTOPY.RU\DESKTOPY.EXE
    delref HTTP://WWW.YAHOO.COM/?ILC=8
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\PROJECT1.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\PROJECT1.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\PROJECT1.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\PROJECT1.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
    del %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR GAMES BROWSER.LNK
    del %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR UPDATE.LNK
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\ZAXARSETUP.4.001.29.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\ZAXARSETUP.4.001.29.EXE
    zoo %SystemDrive%\ERTDLL\SMS.EXE
    delall %SystemDrive%\ERTDLL\SMS.EXE
    deltmp
    czoo
    Перезагрузите сервер вручную.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Проверьте, что с соединениями по 25-му порту.

    Сделайте новый полный образ автозапуска uVS.

    И, чтобы не повторяться - http://virusinfo.info/showthread.php...=1#post1160323 - рекомендации по безопасности читайте и обдумывайте, скрипт там не для вашей ситуации, естественно.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    Не наше.
    Соединение по 25 порту прекратились.

    - - - - -Добавлено - - - - -

    Снова соединения возобноволись, по ощущениям их стало чуть меньше. Учетки кроме админской временно заблокировал, пароль админа изменил.
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в UVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ZZIIVNWU.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ZZIIVNWU.EXE
    czoo
    Перезагрузка, загрузите свежий карантин (ZOO_).

    Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    Архив с карантином почему то не появляется после выполнения скрипта

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Давайте свежий образ, много времени прошло...
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в UVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\GGPPCUDB.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\GGPPCUDB.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\YAHOO!\COMPANION\INSTALLS\CPN2\VISIC_COUPON.DLL
    czoo
    И сразу перезагружайте сервер в безопасный режим с поддержкой сети.

    ZOO_ загрузите в карантин, новый образ - на rghost.
    Не загружайте сервер в обычном режиме до получения следующих указаний, ответить постараюсь максимально быстро.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    Карантин загрузил, сервер в безопасном

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Новый образ сделайте. Можно без проверки цифровых подписей, чтоб быстрее.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\DDMMZRAY.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\DDMMZRAY.EXE
    
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    ; C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    bl 61906E6487DE400288A10FB0A88B26AE 311599
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\НОВАЯ ПАПКА\EXPLORER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\НОВАЯ ПАПКА\EXPLORER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\EXPLORER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\EXPLORER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\EXPLORER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\EXPLORER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\EXPLORER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\EXPLORER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDDEN-USER.BAT
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\SINA\РАБОЧИЙ СТОЛ\HIDEN\HIDE_USER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDE_USER.EXE
    czoo
    Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Перезагрузите сервер, загрузите новый карантин и сделайте новый полный образ автозапуска.
    WBR,
    Vadim

  20. #18
    Junior Member Репутация
    Регистрация
    18.09.2014
    Сообщений
    10
    Вес репутации
    35
    http://rghost.ru/58143191
    Загрузил также в безопасном

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в UVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    
    del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE
    del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE
    del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE
    deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*
    Перезагрузите сервер, посмотрите - в папке C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\ имеются файлы SMSS.EXE, WAAGENT.EXE, WASPPACER.EXE ? Там путь кривой, утилита из-за этого не справляется. Попробуйте Unlocker, или просто вручную удалить или переименовать всю эту папку.
    WBR,
    Vadim

  22. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. \ddmmzray.exe._cc23af3d38ac926bca243ff62c51aa3435f f90bb - Backdoor.Win32.Tofsee.so
      2. \explorer.exe._317a49e029bbc2cd0aadbc5072431f11576 5d91c - Trojan.Win32.Refroso.hgbe ( BitDefender: Trojan.GenericKD.1596674, AVAST4: Win32:Malware-gen )
      3. \ggppcudb.exe._e35b45338b6239b713ee2b95ee7a2ccace1 2ca86 - Trojan-Dropper.Win32.Dorifel.amnm ( BitDefender: Gen:Variant.Graftor.156651, AVAST4: Win32:Malware-gen )
      4. \tpqlksln.exe._62c2d90d7e2689d7701d480caeb894eeaba f44ab - Worm.Win32.WBNA.asei ( AVAST4: Win32:VB-AIMY [Trj] )


  • Уважаемый(ая) geek_tmb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Огромное количество принятых пакетов
      От elenty в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.07.2012, 01:15
    2. Ответов: 3
      Последнее сообщение: 21.01.2010, 20:18
    3. Ответов: 5
      Последнее сообщение: 20.05.2009, 07:13
    4. Огромное количество скрытых процессов!
      От geshutik в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:44
    5. Ответов: 1
      Последнее сообщение: 16.06.2008, 01:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00233 seconds with 18 queries