Вирус Webisida на сервере Windows Server 2008 R2 x64 [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.=
Agent.bcny]
Добрый день.
На сервере dr.Web обнаружил угрозу webisida, лечение rd.web-ом не помогло, самостоятельное лечение с помощью утилиты avz не выходит, т.к. программа сворачивается в середине сканирования. Сервер сам ведет себя странно: работает медленно, перезагрузка длится 30 мин, диск C: занят полностью. Никаких тяжеловесных приложений не установлено, только 1С для бухгалтеров.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Jobby, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
UPD
Была произведена проверка KVRT, обнаружено несколько угроз-троянов, были вылечены без перезагрузки, при повторной проверке все чисто. На сервере стоял Eset, но он не работал, а висел в фоновом режиме.
Было обнаружено, что на диске С: занято 193Гб, из которых по каждой папке всего 93Гб, папка ProgramData пишет размер: 226Гб, на диске: 71Гб.
Логи после проверки прилагаю. Скрипт пока не запускаю, проводится дефрагментация диска.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Проанализировать чем заполняется можете с помощью этой утилиты.
Пока наблюдаете, проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Т.е за все время сканирования был обнаружен только майнер? От чего лечили. Сегодня по факту- MSE обнаружил еще несколько троянов, все были удалены, папка Programdata заполняется отчетами об ошибках установки неизвестных приложений WindowsWcpStoreCorruption. Уязвимые места закрыты, кроме обновления безопасности для Internet Explorer, оно не устанавливается в моей системе.
Более подробно об ошибке:
Имя проблемного события: WindowsWcpStoreCorruption
Type: MissingFileSystemResource
Path: \winsxs\amd64_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.1.7601.18918_ none_8e17ff23dc443457\aaclient.mof
Папка ProgramData так и заполняется отчетами об ошибках.
+в командной строке отражаются пользователи, которых вообще нет в системе, а те, которые удалены все еще остались. И корзина занимает место на диске, хотя почищена.
Уважаемый(ая) Jobby, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: