Имеется статистическая сеть с несколькими выделенными ip адресами.
При подключении инета канал забивается трафиком на полную (входящим и исходящим), интернет не работает.
Так же данный компьютер имеет выход в инет через прокси сервер, в этом случае никакого подозрительного трафика нет и локальная сеть работает нормально.
Проверка Dr.Web CureIt! результата не дает. Установлен Kaspersky Endpoint Security 10 for Windows база постоянно обновляется, так же проверка результатов не дает.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Анатолий +, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Сделал полный образ автозапуска с помощью приложения uVS.
Деинсталлируйте программы Html5 geolocation provider, Update for Html5 geolocation provider.
Завершите все терминальные сеансы на сервере, закройте все открытые пользователями файлы на шарах и выполните скрипт в uVS:Перезагрузите сервер.Код:;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v385c delall %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\PRICEFOUNTAINW.EXE delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\UNINST.EXE deldir %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1\UPDATE~1\UPDATE~1.EXE deldir %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1 delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WEBSURF.RU\WEBSURF.EXE deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WEBSURF.RU delall %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW TO DECRYPT FILES.TXT zoo %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT zoo %SystemDrive%\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE delall %SystemDrive%\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE del %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PRICEFOUNTAIN\UNINSTALL PRICEFOUNTAIN.LNK zoo %SystemDrive%\USERS\BUH1\DESKTOP\DEDCHECK.EXE delall %SystemDrive%\USERS\BUH1\DESKTOP\DEDCHECK.EXE del %SystemDrive%\USERS\BUH1\DESKTOP\WEBSURF.LNK zoo %SystemDrive%\USERS\BUHGALTER\DESKTOP\AMS.EXE delall %SystemDrive%\USERS\BUHGALTER\DESKTOP\AMS.EXE zoo %SystemDrive%\POKER\WILLIAM HILL POKER\CASINO.EXE deldir %SystemDrive%\POKER\WILLIAM HILL POKER zoo %SystemDrive%\POKER\LEONPOKER\CASINO.EXE deldir %SystemDrive%\POKER\LEONPOKER delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAMENU.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\TEMP\8\RAR$EX00.464\DTLEP.EXE czoo
Уведомление
В скрипте есть строки для удаления покерных клиентов, их, на мой взгляд, на сервере быть не должно. Если у Вас другое мнение - закомментируйте символом ; соответствующие строки, или удалите их.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Все сделал, как и говорили.
- - - - -Добавлено - - - - -
Забыл упомянуть: Недели 4 назад была следующая картина, при смене ip адреса на машине трафик исходящий прекращается, а объем входящего заметно выше исходящего, в этом случае интернет работает. Примерно через 3-4 дня интернет начал снова забивается трафиком на полную (входящим и исходящим) и приходилось вновь менять ip адрес. Примерно дней 5 назад смена ip перестала давать результаты, интернет напрямую перестал работать.
Выполнил проверку утилитой Dr.Web CureIt! и нашлась угроза: svchost.exe в директории: "C:\Users\Buh1\WINDOWS\system svchost.exe", данную угрозу нейтрализовал этой же утилитой. Машину я не перезагружал, пробовал включать инет напрямую, менял ip адрес, но интернет канал был забит входящим и исходящим трафиком.
В списке программ я увидел приложение Radmin Server, которое скорее всего было установлено ранее, но при этом в области уведомлений (трее) значков не висит, попытался удалить, мне выдало примерно следующее сообщение, программа будет полностью удалена после завершения сеансов соединения, но никаких пользователи не должны были подключены через рэдмин, только через удаленный рабочий стол в терминальном режиме.
Далее я уже начал делать первые логи.
После удаления приложений Html5 geolocation provider, Update for Html5 geolocation provider, выполнения скрипта вuVS: и перезагрузки системы подключил нет напрямую и пакеты прям "полетели", затем сменил ip и стало как ранее, исходящие пакеты в пределах нормы а вот входящих заметно больше.
После этого я снова попытался удалить Radmin Server стандартным способом в результате выдал ошибку что типо "требуется файл который находится в сетевом доступе".
Промежуточные итоги.
Удалено:
1. C:\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN -adware, может генерировать трафик.
2. C:\USERS\BUH1\DESKTOP\VK_BRUTE-CHECKER.EXE - Win32/HackTool.BruteForce.SG (ESET-NOD32), видимо, для взлома вконтакте.
Создан 26.01.2015 в 10:01:42
Изменен 22.01.2015 в 09:48:26
3. C:\USERS\BUHGALTER\DESKTOP\AMS.EXE - Win32/AdvancedMassSender.A (ESET-NOD32). Утилита для массовой рассылки спама, трафик, наверняка, создаёт немалый.
Создан 10.06.2012 в 04:55:57
Изменен 10.06.2012 в 04:56:50
4. C:\USERS\BUH1\DESKTOP\DEDCHECK.EXE MSIL/HackTool.BruteForce.Z (ESET-NOD32) - утилита для поиска и взлома "дедиков" - от Dedicated Server - выделенный сервер.
Создан 26.01.2015 в 00:33:08
Изменен 07.10.2013 в 19:56:25
Если, конечно, это не пользователь BUH1 шалит, в т. ч. и по ночам - поздравляю, сервер взломан, на нём хозяйничают хакеры.
Срочно делайте следующее.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Ну и вообще, позволять пользователям выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, на мой взгляд, просто преступная халатность и повышение вероятности взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Программы, требующие выхода в интернет, также должны работать на пользовательском рабочем месте. Исключение - какие-либо многопользвательские, сетевые пакеты, но тогда брандмауэром на сервере должен быть запрещено работать с интернетом всем программам, исключая те, которым это необходимо.
Судя по следам шифровальщика, ломают сервер не первый раз, так что вперёд, затыкать дыры, расчищать авгиевы конюшни.
В личку напишите ваш внешний ip адрес, проверю на уязвимость.
Сделайте новый полный образ автозапуска UVS.
WBR,
Vadim
Прошу простить что "пропал". Сегодня обнаружил на машине к корне системного диска папку, содержащую следующее: ZDoser [1.1].exe; proxy.txt; data.ini. (в интернете нашел по экзешнику что это приложение для дидос атак).
А так же папку с программой WinHide.SB - Программа для управления видимостью окон. Вряд ли бухгалтер будет пользоваться таким софтом.
То, что я писал, выполнили?
Обновите по ссылке UVS и сделайте новый полный образ автозапуска.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Анатолий +, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
