Снова c2.bat и lsmosee.

**aen1975** · 10.09.2017, 00:00

Знакомые обратились - пропал доступ к расшаренной папке на сервере. Имеем - Win2003 Server, все возможные обновления установлены.
НОД каждые три часа обнаруживает system32\debug\c2.bat и через минут после него в help\lsmosee.

Посмотрел сообщения на форуме - в отличие от другх - в планировщике нет заданий типа Mysa. В реестре что нашел - подчистил.

Отчет аутологера прикрепил.

Добавлено - нашел файлик в темпе одного пользовтеля - test(1).htm - внутри htt://2о9.58.186.145:четыре 8/close2.bat c:\windows\debug\c2.bat 1

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.09.2017, 00:10

Уважаемый(ая) aen1975, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 10.09.2017, 20:56

Обновления от WannaCry нужно устанавливать на всех компьютерах в локальной сети. А лучше - вообще все обновления.
Запретить протокол SMB версии 1 не выйдет, т. к. 2003 server, а на компьютерах, наверняка, XP ещё есть.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**aen1975** · 10.09.2017, 22:00

UVS log

**Vvvyg** · 10.09.2017, 22:15

Код:

C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\Manage Your Server.lnk

Ярлык управления сервером испорчен вирусом, а так - чисто. Ставьте патчи на все компьютеры, отбирайте права администратора у пользователей, которым они в действительности не нужны.

Расширение отсюда на сервер точно устанавливали? Без него не избавитесь от заразы.

**aen1975** · 11.09.2017, 10:25

Сообщение от Vvvyg

Код:

C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\Manage Your Server.lnk

Ярлык управления сервером испорчен вирусом, а так - чисто. Ставьте патчи на все компьютеры, отбирайте права администратора у пользователей, которым они в действительности не нужны.

Расширение отсюда на сервер точно устанавливали? Без него не избавитесь от заразы.

ок, проверю еще раз

Снова c2.bat и lsmosee. (заявка № 215152)

Опции темы