Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вирус Webisida на сервере Windows Server 2008 R2 x64 [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.= Agent.bcny] (заявка № 225304)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1

    Вирус Webisida на сервере Windows Server 2008 R2 x64 [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.= Agent.bcny]

    Добрый день.

    На сервере dr.Web обнаружил угрозу webisida, лечение rd.web-ом не помогло, самостоятельное лечение с помощью утилиты avz не выходит, т.к. программа сворачивается в середине сканирования. Сервер сам ведет себя странно: работает медленно, перезагрузка длится 30 мин, диск C: занят полностью. Никаких тяжеловесных приложений не установлено, только 1С для бухгалтеров.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,315
    Вес репутации
    359
    Уважаемый(ая) Jobby, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Здравствуйте!

    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\windows\fonts\s\svchost.exe');
     StopService('Windows Terminal Service Control (managed by AlwaysUpService)');
     QuarantineFile('C:\Users\Admin\appdata\roaming\svchost.exe', '');
     QuarantineFile('C:\Windows\Fonts\reg.exe', '');
     QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
     QuarantineFile('c:\windows\fonts\s\svchost.exe', '');
     QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
     QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
     QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
     QuarantineFile('C:\Windows\system32\qw.exe', '');
     QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
     DeleteSchedulerTask('system');
     DeleteSchedulerTask('systems');
     DeleteFile('C:\Users\Admin\appdata\roaming\svchost.exe', '');
     DeleteFile('C:\Windows\Fonts\reg.exe', '');
     DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
     DeleteFile('c:\windows\fonts\s\svchost.exe', '');
     DeleteFile('C:\Windows\fonts\s\svchost.exe', '64');
     DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
     DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
     DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
     DeleteService('Bios');
     DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)');
     DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
     DeleteDirectory('c:\windows\inf\netlibrariestip');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(9);
    end.
    Пожалуйста, перезагрузите компьютер вручную.



    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.




    Сделайте повторные логи по правилам. (CollectionLog)
    Последний раз редактировалось Sandor; 07.07.2020 в 15:54.

  5. #4
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    UPD
    Была произведена проверка KVRT, обнаружено несколько угроз-троянов, были вылечены без перезагрузки, при повторной проверке все чисто. На сервере стоял Eset, но он не работал, а висел в фоновом режиме.
    Было обнаружено, что на диске С: занято 193Гб, из которых по каждой папке всего 93Гб, папка ProgramData пишет размер: 226Гб, на диске: 71Гб.
    Логи после проверки прилагаю. Скрипт пока не запускаю, проводится дефрагментация диска.
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Цитата Сообщение от Jobby Посмотреть сообщение
    Скрипт пока не запускаю
    Запустите. Дефрагментацию прервите. Сделаете по окончании лечения.

  7. #6
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Файл загружен.
    Удалось почистить диск через очистку диска, папка ProgramData освободилась на 70Гб))

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,501
    Вес репутации
    953
    Цитата Сообщение от Sandor Посмотреть сообщение
    Сделайте повторные логи по правилам. (CollectionLog)
    Логи нужны новые, после выполнения скрипта.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Логи.
    Диск С после чистки снова забит полностью.
    Вложения Вложения

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Дополнительно:
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    файлы
    Вложения Вложения

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      IFEO\sethc.exe: [Debugger] seth.exe
      ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File)
      ShortcutTarget: ccleaner.lnk -> C:\Users\Admin\svchost.exe (No File)
      ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File)
      FirewallRules: [{2C6E6781-00AD-47D4-847A-4EA354018AA9}] => (Allow) LPort=9422
      FirewallRules: [{FDF740BF-75B4-4B0F-B361-65753C10AC17}] => (Allow) LPort=9245
      FirewallRules: [{C67AE372-D94D-45E9-910A-13BCE37F134D}] => (Allow) LPort=9246
      FirewallRules: [{D98DF795-1002-41D8-9E50-95BCF99AEBC4}] => (Allow) LPort=9247
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер перезагрузите вручную.

    Слишком много администраторов. Проверьте, всем ли нужны админ права.

  13. #12
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    файл
    Вложения Вложения

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Проблема решена?

  15. #14
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Пока не могу сказать. Надо ночь переждать, посмотреть заполнится ли диск С опять.

    - - - - -Добавлено - - - - -

    А что там было?

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Майнер.

    Цитата Сообщение от Jobby Посмотреть сообщение
    заполнится ли диск С опять
    Проанализировать чем заполняется можете с помощью этой утилиты.

    Пока наблюдаете, проверьте уязвимые места:
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера.

  17. #16
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Майнер.
    Т.е за все время сканирования был обнаружен только майнер? От чего лечили. Сегодня по факту- MSE обнаружил еще несколько троянов, все были удалены, папка Programdata заполняется отчетами об ошибках установки неизвестных приложений WindowsWcpStoreCorruption. Уязвимые места закрыты, кроме обновления безопасности для Internet Explorer, оно не устанавливается в моей системе.

  18. #17
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    Удалите старые и соберите новые логи FRST.

  19. #18
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Более подробно об ошибке:
    Имя проблемного события: WindowsWcpStoreCorruption
    Type: MissingFileSystemResource
    Path: \winsxs\amd64_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.1.7601.18918_ none_8e17ff23dc443457\aaclient.mof

    - - - - -Добавлено - - - - -

    логи
    От чего лечили-то, кроме майнера?
    Вложения Вложения

  20. #19
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,173
    Вес репутации
    111
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      Startup: C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2020-05-25]
      ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File)
      Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ccleaner.lnk [2020-03-12]
      ShortcutTarget: ccleaner.lnk -> C:\Users\Admin\svchost.exe (No File)
      Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2020-03-17]
      ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File)
      WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
      WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
      WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер перезагрузите вручную.


    AmmyyAdmin ставили самостоятельно?

    Активные администраторы все ваши?
    Администратор (S-1-5-21-2160041190-3887882538-3021037150-500 - Administrator - Enabled)
    dronmn (S-1-5-21-2838919876-3928995880-250114981-1110 - Administrator - Enabled) => C:\Users\dronmn
    Adm (S-1-5-21-2838919876-3928995880-250114981-1112 - Administrator - Enabled) => C:\Users\Adm
    Admin1c (S-1-5-21-2838919876-3928995880-250114981-1120 - Administrator - Enabled) => C:\Users\Admin1c
    Admin (S-1-5-21-2838919876-3928995880-250114981-1123 - Administrator - Enabled) => C:\Users\Admin
    Romanov (S-1-5-21-2838919876-3928995880-250114981-1130 - Administrator - Enabled) => C:\Users\Romanov
    User (S-1-5-21-2838919876-3928995880-250114981-1131 - Administrator - Enabled) => C:\Users\User
    ftp (S-1-5-21-2838919876-3928995880-250114981-1132 - Administrator - Enabled) => C:\Users\ftp
    User1 (S-1-5-21-2838919876-3928995880-250114981-1133 - Administrator - Enabled) => C:\Users\User1
    Пароли на RDP нужно сменить.

  21. #20
    Junior Member Репутация
    Регистрация
    07.07.2020
    Сообщений
    12
    Вес репутации
    1
    Лог-файл

    AmmyyAdmin ставили самостоятельно?
    Нет.
    Активные администраторы все ваши?
    Нет, половина удалены.

    Папка ProgramData так и заполняется отчетами об ошибках.

    +в командной строке отражаются пользователи, которых вообще нет в системе, а те, которые удалены все еще остались. И корзина занимает место на диске, хотя почищена.
    Вложения Вложения

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 8
    Последнее сообщение: 05.08.2019, 05:37
  2. Ответов: 2
    Последнее сообщение: 13.02.2019, 20:59
  3. Windows Server x64 & SQL Server 2008
    От saxa в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 21.10.2013, 14:21
  4. Ответов: 7
    Последнее сообщение: 01.08.2013, 20:31
  5. Ответов: 5
    Последнее сообщение: 30.05.2013, 14:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01216 seconds with 17 queries