Добрый вечер, схватил букет вирусов Trojan Miner.77,BackDoor.RMS.82,Program.PdpWrap.7, Program.RemoteAdmin.753, TrojanAutoIt.961, после восстановления системы из образа они появляются в течении 5-7 минут.Dr. Web Cureit их находит, перемещает в карантин. Но после перезагрузки перестаёт работать удалённый доступ, а соответствующая служба просто пропадает. Можно как удалить эту заразу, без потери службы удалённого доступа. Огромное спасибо...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Mr,Proxe, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Скачайте и распакуйте утилиту AV block remove. Загрузите систему в безопасном режиме!
Запустите AV block remove, следуйте инструкциям.
После перезагрузки файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
У вас там Mikrotik с древней прошивкой, веб-интерфейсом и WinBox наружу и кучей уязвимостей, похоже взломан и в сети хохяйничают плохие парни.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Обновить прошивку мало. Проверьте наличие левых пользователей, скриптов, прокси, меняйте пароли. Рекомендуют вообще делать полный сброс конфига и настраивать с нуля.
Открыто много портов, если не сами делали - лучше перенастройте с нуля, сходите, например, на форум там и инструкции дельные есть, и помогут.
В личку отправил ссылку на отчёт Nmap.
Ну и, не удивлён, что на сервере отсуствует самое важное критическое обновление, про MS17-010 и шифровальщики WannaCry и Petya/NotPetya Вы тоже не слышали, погуглите на досуге.
Про вирус слышал, но всегда сервер был закрыт и для интернета и для людей в виде рдп и прочего, а потом в авральном режиме, команда сделать все, ну короче человеческий фактор.На микротике пароли сменил, более основательно завтра буду перенастраивать, исправлять, однозначно, спасибо за открытие глаз... Лог приложил...
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Меняйте и адимнские пароли в системе, на компьютерах пройдитесь KVRT или Dr. Web CureIt! для порядка. В общем, нужен полный аудит безопасности.
Спасибо вам огромнейшие, ситуация оказался просто как мир. И приславутый человеческий фактор. Несколько недель назад в сервер был вставлен флеш накопитель, без каких либо проверок. На нем то и был я так понимаю вирус, после чего cureit он был удалён и всё работало, до первой перезагрузки. И тут началось, слетел удалённый рабочий стол и так далее. А про флешку я и забыл во все. А ваш скрипт, который в безопасном режиме я запуска, удалил вирус чётко. Но потом загружаясь обратно, забыв про флешку, система снова с неё заражалась. Сегодня утром меня прям озарило, когда я увидел эту грёбанную флешку. Выдернул её, зашёл в безопасно режиме, с помощью вашей утилиты всё удали. Пока работает, уже полчаса, полёт отличный. Спасибо вам огромнейшие, я конечно дальше буду мониторить, но пока не вируса, не закрывающегося диспетчера не наблюдается. Ещё раз спасибо... Позже отпишусь, если ещё что-нибудь проявиться
- - - - -Добавлено - - - - -
Пароли сменил, остальные машины на проверке, но вроде пока чисто. На сервер все повторилось через 3 часа.
Карантин загрузил, Все сделал согласно инструкции.
Events https://cloud.mail.ru/public/v3cH/trQVyw7Rv
- - - - -Добавлено - - - - -
Опять вирус вернулся... Все проделал согласно инструкции.
Снова пролечите систему с помощью AV block remove.
Ещё из проблем - Dr.Web Enterprise Server неработает.
И проблемы с HDD:
Драйвер обнаружил ошибку контроллера \Device\Harddisk4\DR4.
Драйвер обнаружил ошибку контроллера \Device\Harddisk3\DR3.
B самое печальное - идёт перебор учёток и паролей на сервере:
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: ТЕСТ
Домен учетной записи:
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC0000064
То же с именами пользователей RECEPTION, ПОЛЬЗОВАТЕЛЬ1, HOSPITAL, и т. д. и т. п.
Это происходило сегодня. Закрывайте в Mikrotik всё, что можно, снаружи.
Добрый вечер, с портами разобрался, rdp прикрыл. Dr.web запустил. Пароли поменял. Но вот перегрузившись в безопасный режим и Снова пролечив систему с помощью AV block remove, после перезагрузки, вирус вернулся. Я конечно же опять использовал тот последний скрипт для uVs, и вроде он удалился. Мне кажется не связано ли это с тем, что в безопасном режиме я захожу под локальным админом, так как загружаю безопасный режим без сети. Или какая то другая причина? Зачистка полная же проходит под доменной учёткой, а в локальные папки он не попадает, так что ли?
После скрипта UVS нужна перезагрузка. С правами админа всё равно под кем лечить, разницы нет.
И после первого прогона AV block remove было видно по логам FRST, что майнер был зачищен полностью, но потом вернулся снова. Значит, либо по сети распространяется, либо снаружи не всё законопатили. Управление через web и winbox открыто, MikroTik bandwidth-test server висит на порту 2000, 53-й порт открыт и 1723.
Сделайте в winbox экспорт конфига без ключей и паролей командой
Код:
/export hide-sensitive
Затем по ПКМ Copy All и результат напишите в личку (оформите с тэгом CODE #. Посмотрю, что там наворочено в Mikrotik.
Добрый день, в итоге был найден реальный очаг заразы, это оказался, всеми забытый тестовый почтовик, без доменов и прочего. Мы думали, что он вообще выключенный, но зараза походу залезла и на него, он был без паролей вообще, а потом от туда перекидывалась на вылеченый комп периодически. Сейчас сделали полный круг по всем компа, после лечения этого и всех зараженных. Вроде второй день работы, нигде ничего не проявляется. Спасибо ещё раз, за помощь. В ближайшее время займусь микротик, есть много не нужного, что подключаю на нем.