Добрый день.
На сервере dr.Web обнаружил угрозу webisida, лечение rd.web-ом не помогло, самостоятельное лечение с помощью утилиты avz не выходит, т.к. программа сворачивается в середине сканирования. Сервер сам ведет себя странно: работает медленно, перезагрузка длится 30 мин, диск C: занят полностью. Никаких тяжеловесных приложений не установлено, только 1С для бухгалтеров.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Jobby, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Пожалуйста, перезагрузите компьютер вручную.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\fonts\s\svchost.exe'); StopService('Windows Terminal Service Control (managed by AlwaysUpService)'); QuarantineFile('C:\Users\Admin\appdata\roaming\svchost.exe', ''); QuarantineFile('C:\Windows\Fonts\reg.exe', ''); QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); QuarantineFile('c:\windows\fonts\s\svchost.exe', ''); QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', ''); QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', ''); QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', ''); QuarantineFile('C:\Windows\system32\qw.exe', ''); QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteSchedulerTask('system'); DeleteSchedulerTask('systems'); DeleteFile('C:\Users\Admin\appdata\roaming\svchost.exe', ''); DeleteFile('C:\Windows\Fonts\reg.exe', ''); DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); DeleteFile('c:\windows\fonts\s\svchost.exe', ''); DeleteFile('C:\Windows\fonts\s\svchost.exe', '64'); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', ''); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', ''); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', ''); DeleteService('Bios'); DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)'); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteDirectory('c:\windows\inf\netlibrariestip'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(9); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте повторные логи по правилам. (CollectionLog)
Последний раз редактировалось Sandor; 07.07.2020 в 15:54.
UPD
Была произведена проверка KVRT, обнаружено несколько угроз-троянов, были вылечены без перезагрузки, при повторной проверке все чисто. На сервере стоял Eset, но он не работал, а висел в фоновом режиме.
Было обнаружено, что на диске С: занято 193Гб, из которых по каждой папке всего 93Гб, папка ProgramData пишет размер: 226Гб, на диске: 71Гб.
Логи после проверки прилагаю. Скрипт пока не запускаю, проводится дефрагментация диска.
Запустите. Дефрагментацию прервите. Сделаете по окончании лечения.Сообщение от Jobby
Файл загружен.
Удалось почистить диск через очистку диска, папка ProgramData освободилась на 70Гб))
Логи нужны новые, после выполнения скрипта.
WBR,
Vadim
Логи.
Диск С после чистки снова забит полностью.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
файлы
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: IFEO\sethc.exe: [Debugger] seth.exe ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File) ShortcutTarget: ccleaner.lnk -> C:\Users\Admin\svchost.exe (No File) ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File) FirewallRules: [{2C6E6781-00AD-47D4-847A-4EA354018AA9}] => (Allow) LPort=9422 FirewallRules: [{FDF740BF-75B4-4B0F-B361-65753C10AC17}] => (Allow) LPort=9245 FirewallRules: [{C67AE372-D94D-45E9-910A-13BCE37F134D}] => (Allow) LPort=9246 FirewallRules: [{D98DF795-1002-41D8-9E50-95BCF99AEBC4}] => (Allow) LPort=9247 End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
Слишком много администраторов. Проверьте, всем ли нужны админ права.
файл
Проблема решена?
Пока не могу сказать. Надо ночь переждать, посмотреть заполнится ли диск С опять.
- - - - -Добавлено - - - - -
А что там было?
Майнер.
Проанализировать чем заполняется можете с помощью этой утилиты.
Пока наблюдаете, проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера.
Т.е за все время сканирования был обнаружен только майнер? От чего лечили. Сегодня по факту- MSE обнаружил еще несколько троянов, все были удалены, папка Programdata заполняется отчетами об ошибках установки неизвестных приложений WindowsWcpStoreCorruption. Уязвимые места закрыты, кроме обновления безопасности для Internet Explorer, оно не устанавливается в моей системе.Майнер.
Удалите старые и соберите новые логи FRST.
Более подробно об ошибке:
Имя проблемного события: WindowsWcpStoreCorruption
Type: MissingFileSystemResource
Path: \winsxs\amd64_microsoft-windows-t..s-clientactivexcore_31bf3856ad364e35_6.1.7601.18918_ none_8e17ff23dc443457\aaclient.mof
- - - - -Добавлено - - - - -
логи
От чего лечили-то, кроме майнера?
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: Startup: C:\Users\Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2020-05-25] ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File) Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ccleaner.lnk [2020-03-12] ShortcutTarget: ccleaner.lnk -> C:\Users\Admin\svchost.exe (No File) Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2020-03-17] ShortcutTarget: Punto Switcher.lnk -> C:\Users\Admin\AppData\Roaming\Punto\punto.exe (No File) WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
AmmyyAdmin ставили самостоятельно?
Активные администраторы все ваши?
Пароли на RDP нужно сменить.Администратор (S-1-5-21-2160041190-3887882538-3021037150-500 - Administrator - Enabled)
dronmn (S-1-5-21-2838919876-3928995880-250114981-1110 - Administrator - Enabled) => C:\Users\dronmn
Adm (S-1-5-21-2838919876-3928995880-250114981-1112 - Administrator - Enabled) => C:\Users\Adm
Admin1c (S-1-5-21-2838919876-3928995880-250114981-1120 - Administrator - Enabled) => C:\Users\Admin1c
Admin (S-1-5-21-2838919876-3928995880-250114981-1123 - Administrator - Enabled) => C:\Users\Admin
Romanov (S-1-5-21-2838919876-3928995880-250114981-1130 - Administrator - Enabled) => C:\Users\Romanov
User (S-1-5-21-2838919876-3928995880-250114981-1131 - Administrator - Enabled) => C:\Users\User
ftp (S-1-5-21-2838919876-3928995880-250114981-1132 - Administrator - Enabled) => C:\Users\ftp
User1 (S-1-5-21-2838919876-3928995880-250114981-1133 - Administrator - Enabled) => C:\Users\User1
Лог-файл
Нет.AmmyyAdmin ставили самостоятельно?
Нет, половина удалены.Активные администраторы все ваши?
Папка ProgramData так и заполняется отчетами об ошибках.
+в командной строке отражаются пользователи, которых вообще нет в системе, а те, которые удалены все еще остались. И корзина занимает место на диске, хотя почищена.
Уважаемый(ая) Jobby, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
