Windows server 2016 - терминальный сервер.
Вчера у всех пользователей, кроме админов вылезло сообщение о нелицензионности, через 2 минуты сервер будет выключен, данные затёрты и что-то про немытые руки). Заскринить не успели. Сервер таки выключился, после включения всё норм, кроме того что журналы винды оказались удалёнными..
Проверил файлы утилитой от каспера, нашло только один вирус (вирус ли он, скорее активатор) C:\Windows\OInstall.exe - HackTool.Win32.KMSAuto.ep
Накатил последнии заплатки, но всё равно не спокойно
Сегодня запустил AVZ:
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 20.02.2019 10:44:42
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 20.02.2019 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1046795
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.14393, "Windows Server 2016 Standard", дата инсталляции 29.11.2018 14:09:11 ; AVZ работает с правами администратора (+),AVZ запущен из терминальной сессии (RDP-Tcp#73)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplmv.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1115) перехвачена, метод ProcAddressHijack.GetProcAddress ->7706AC61->771E30D0 Функция kernel32.dll:ReadConsoleInputExW (1116) перехвачена, метод ProcAddressHijack.GetProcAddress ->7706AC94->771E3100
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:CveEventWrite (1233) перехвачена, метод ProcAddressHijack.GetProcAddress ->77382ED2->772003D0 Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->77383DF9->7668AD60
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FAC40A->55480D40 Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73FAC439->554810B0
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 177
Количество загруженных модулей: 366
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "@%SystemRoot%\system32\napinsp.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\napinsp.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\wshtcpip.dll,-60103" --> отсутствует файл C:\Users\Alex\WINDOWS\System32\mswsock.dll
Ошибка LSP NameSpace: "@%SystemRoot%\System32\winrnr.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\System32\winrnr.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\nlasvc.dll,-1000" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\NLAapi.dll
Ошибка LSP Protocol = "Hyper-V RAW" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60100" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60101" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60102" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60200" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60201" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\mswsock.dll,-60202" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-100" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-101" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-102" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Ошибка LSP Protocol = "@%SystemRoot%\System32\wshqos.dll,-103" --> отсутствует файл C:\Users\Alex\WINDOWS\system32\mswsock.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 15
Смущает то, что выделил жирным, в AVZ - красное
и ещё момент, если запустить эвристическую проверку то AVZ вылетает. Запускаю от админской учётки...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) -Pioner-, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
На перехваты не обращайте внимание.
Выглядит, как чья-то неумная шутка, но точно ничего не пропало? Просмотрите секции "Цель не существует" в Check_Browsers_LNK.log, если так и должно быть - перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
В остальном порядок.