Имеется статистическая сеть с несколькими выделенными ip адресами.
При подключении инета канал забивается трафиком на полную (входящим и исходящим), интернет не работает.
Так же данный компьютер имеет выход в инет через прокси сервер, в этом случае никакого подозрительного трафика нет и локальная сеть работает нормально.
Проверка Dr.Web CureIt! результата не дает. Установлен Kaspersky Endpoint Security 10 for Windows база постоянно обновляется, так же проверка результатов не дает.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Анатолий +, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В скрипте есть строки для удаления покерных клиентов, их, на мой взгляд, на сервере быть не должно. Если у Вас другое мнение - закомментируйте символом ; соответствующие строки, или удалите их.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Забыл упомянуть: Недели 4 назад была следующая картина, при смене ip адреса на машине трафик исходящий прекращается, а объем входящего заметно выше исходящего, в этом случае интернет работает. Примерно через 3-4 дня интернет начал снова забивается трафиком на полную (входящим и исходящим) и приходилось вновь менять ip адрес. Примерно дней 5 назад смена ip перестала давать результаты, интернет напрямую перестал работать.
Выполнил проверку утилитой Dr.Web CureIt! и нашлась угроза: svchost.exe в директории: "C:\Users\Buh1\WINDOWS\system svchost.exe", данную угрозу нейтрализовал этой же утилитой. Машину я не перезагружал, пробовал включать инет напрямую, менял ip адрес, но интернет канал был забит входящим и исходящим трафиком.
В списке программ я увидел приложение Radmin Server, которое скорее всего было установлено ранее, но при этом в области уведомлений (трее) значков не висит, попытался удалить, мне выдало примерно следующее сообщение, программа будет полностью удалена после завершения сеансов соединения, но никаких пользователи не должны были подключены через рэдмин, только через удаленный рабочий стол в терминальном режиме.
Далее я уже начал делать первые логи.
После удаления приложений Html5 geolocation provider, Update for Html5 geolocation provider, выполнения скрипта вuVS: и перезагрузки системы подключил нет напрямую и пакеты прям "полетели", затем сменил ip и стало как ранее, исходящие пакеты в пределах нормы а вот входящих заметно больше.
После этого я снова попытался удалить Radmin Server стандартным способом в результате выдал ошибку что типо "требуется файл который находится в сетевом доступе".
1. C:\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN -adware, может генерировать трафик.
2. C:\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE - Win32/HackTool.BruteForce.SG (ESET-NOD32), видимо, для взлома вконтакте.
Создан 26.01.2015 в 10:01:42
Изменен 22.01.2015 в 09:48:26
3. C:\USERS\BUHGALTER\DESKTOP\AMS.EXE - Win32/AdvancedMassSender.A (ESET-NOD32). Утилита для массовой рассылки спама, трафик, наверняка, создаёт немалый.
Создан 10.06.2012 в 04:55:57
Изменен 10.06.2012 в 04:56:50
4. C:\USERS\BUH1\DESKTOP\DEDCHECK.EXE MSIL/HackTool.BruteForce.Z (ESET-NOD32) - утилита для поиска и взлома "дедиков" - от Dedicated Server - выделенный сервер.
Создан 26.01.2015 в 00:33:08
Изменен 07.10.2013 в 19:56:25
Если, конечно, это не пользователь BUH1 шалит, в т. ч. и по ночам - поздравляю, сервер взломан, на нём хозяйничают хакеры.
Срочно делайте следующее.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Ну и вообще, позволять пользователям выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, на мой взгляд, просто преступная халатность и повышение вероятности взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Программы, требующие выхода в интернет, также должны работать на пользовательском рабочем месте. Исключение - какие-либо многопользвательские, сетевые пакеты, но тогда брандмауэром на сервере должен быть запрещено работать с интернетом всем программам, исключая те, которым это необходимо.
Судя по следам шифровальщика, ломают сервер не первый раз, так что вперёд, затыкать дыры, расчищать авгиевы конюшни.
В личку напишите ваш внешний ip адрес, проверю на уязвимость.
Прошу простить что "пропал". Сегодня обнаружил на машине к корне системного диска папку, содержащую следующее: ZDoser [1.1].exe; proxy.txt; data.ini. (в интернете нашел по экзешнику что это приложение для дидос атак).
А так же папку с программой WinHide.SB - Программа для управления видимостью окон. Вряд ли бухгалтер будет пользоваться таким софтом.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: