Вирус на сервере

[safety]

теперь можно выполнить скрипт в uVS,


.........
и затем выполнить очистку в FRST

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Task: {735DB3C2-56DC-4489-B627-CA18603FEB62} - \Runtime -> No File <==== ATTENTION
2017-05-10 09:51 - 2017-05-10 09:51 - 01332324 _____ C:\windowstmp02.exe
2017-05-10 09:41 - 2017-05-10 09:41 - 00030721 _____ (Microsoft Corporation) C:\Windows\notpad.exe
EmptyTemp:
Reboot:

и подождем новых событий.
если атака повторится, то опять же дилемма остается: или что-то в системе остается недочищенное, которое через время проявляет себя, или атака идет из внешней сети на систему, используя уязвимости.

---------
если есть такая возможность, то желательно обновить систему, т.е. чтобы были установлены все выпущенные критические обновления.

 

[Wolfil14]

теперь можно выполнить скрипт в uVS,


.........
и затем выполнить очистку в FRST

Не совсем понял вот эту часть, последний присланный скрипт я уже выполнил

 

[safety]

последний образ сделан старой версией. 3.87
uVS v3.87 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

[safety]

Не совсем понял вот эту часть, последний присланный скрипт я уже выполнил

да, раз скрипт в uVS выполнен уже, теперь выполните только скрипт в FRST
(просто мой ответ был написан, когда вашего ответа я еще не видел.)
----------
все новые образы в uVS нужны из под версии 4.0.2

 

[Wolfil14]

Все выполнил, перезагрузил.

Дополняю. Нашел в списке пользователей - двух новых, я их не создавал. Два часа назад их не было.

 

[Wolfil14]

Дополняю:

Параллельно общался с тех поддержкой Eset, они посоветовали сделать глубокую проверку выставив особые параметры. Вот письмо от них:

Данная угроза может подгружаться через другие ПК в сети, через шару.
Изалируйте зараженные ПК в сети и запустите полную проверку:
Откройте дополнительные настройки антивируса, выберите "Защита от вирусов". Установите галочки "Включить обнаружение потенциально опасных приложений" и "Включить обнаружение потенциально нежелательных приложений".
Откройте главное окно антивируса, выберите раздел "Сканирование компьютера" - "Выборочное сканирование". В правом верхнем углу нажмите "Настройка", затем выберите подраздел "Очистка" и установите значение "Тщательная очистка". и детальное сканирование.
Запустите сканирование. Сообщите о результатах.

Сделал все как они написали, лог журнала сделал, был найден один вирус. Прикладываю.

 

[safety]

C:\$36OSection\win2.exe = RAR = winlogon.exe - модифицированный Win64/BitCoinMiner.U потенциально опасная программа - удален
-----------
возможно, что есть в локальной сети комп с активным заражением, с которого идет атака в том числе на этот сервер. через открытый порт 445.

 

[Wolfil14]

проверю завтра все ПК, вышлю файлы отчетов если что найдется, спасибо еще раз)

 

[Vvvyg]

Судя по логу FRST:

Windows Firewall is disabled.

Может, стоит включить?

 

[Wolfil14]

Судя по логу FRST:
Цитата:
Windows Firewall is disabled.
Может, стоит включить?

сейчас то уже не в нем дело, но я пробовал тем не менее, он ни на грамм ситуацию не меняет - включен он или выключен.
И очень сомневаюсь, что если бы он работал, что то бы поменялось.

 

[Wolfil14]

Добрый день, вчера-сегодня проверил все компьютеры в сети вышеописанной тщательной проверкой от Eset,
вирусы нашлись на 2 пк из 10 + на сервере, проверил дважды его, до начала проверки всех пк и после проверки всех.
Вирус на сервере был найден до проверки всех ПК.
После ничего не нашел.
Логи прикладываю.

Также опять пропал доступ к расшаренным папкам сервера.
А вот NormaCS на удивление работает.
Я снова запустил последний скрипт uVS и папки стали доступны, посмотрю что будет в дальнейшем.
Проблема теперь еще в том что упираемся во время.
Если сегодня не получится избавиться от вируса, надо делать что то координальное уже. Переустановка виндоус поможет или не факт?)

 

[safety]

1. возможно, обычная перезагрузка системы восстанавливает доступ к шарам.
2. по логам сканирования на других компах: в данном случае они малоинформативны, найдено может быть все что угодно, что и не относится к проблеме вашего сервера.
10.05.2017 16:43:57;Оперативная память;Загрузочный сектор;C:\Загрузочный сектор;C:\;1451545;3;3;Зaвepшeнo
3. по мерам безопасности на сервере.
если есть такая возможность установите все критические обновления по безопасности для серверной системы.
--------

 

[Wolfil14]

Обновления установлю, что еще посоветуете? Переустанавливать?

 

[set of letters]

Переустановка виндоус поможет или не факт?)

Не факт. Если заражены другие компы, то что это даст?
То же самое и будет

 

[safety]

судя по последнему логам ELC атаки были:

10.05.2017 12:13:42 HTTP filter file хттп://50.78.143.2:8181/solo/mupd.exe a variant of Win32/Farfli.ARM trojan connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\spoolsv.exe (3ECAE0D7DE04F08E911FD6041386907C9B9291D8). 2D229A324119D387680D4D2DC54F884DD222A1F4
08.05.2017 8:01:49 HTTP filter file хтпп://103.59.145.29/Winsafe.exe Blocked Object connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A). 228C1835FA89F60F0A6972C80EBFEE91F172D5A2
08.05.2017 0:11:04 HTTP filter file хтпп://47.88.216.68:8888/test.dat a variant of Win32/Packed.NoobyProtect.L suspicious application connection terminated NT AUTHORITY\система Threat was detected upon access to web by the application: C:\Windows\System32\lsass.exe (7D9C3E175A4401312AF1B45162400846289F723A). 2B10FC7EBAD4EB93D1A907CC6F5211BE6CF73D5E

а вот чем они вызваны, пока что трудно сказать. или есть скрытая инфекция в системе (руткит), который периодически создает потоки в легитимных процессах (lsass,spolsv,powershell.exe и другие), или систему пробивает через уязвимости.


в первом случае желательно проверить систему полным сканированием из под загрузочного диска,

или сделать образ автозапуска этой системы из под winpe, если у вас есть физический доступ к этой машине, (а не удаленный).

во втором случае установить все критические обновления для системы.
---------------
+
если есть этот объект в карантине:

28.04.2017 2:14:27 Real-time file system protection file C:\Users\Public\xx.vbs JS/TrojanDownloader.Psyme.NEV trojan cleaned by deleting NT AUTHORITY\система Event occurred on a file modified by the application: C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8). C1AC89420A39C7E570B750CBA878A6E60D6FE868

вышлите, пожалуйста, в архиве, с паролем infected в почту safety@chklst.ru

по переустановке:

если эти меры не помогут, тогда вам решать: надо переустанавливать систему или нет, поскольку это ваша рабочая система.

 

[Wolfil14]

вышлите, пожалуйста, в архиве, с паролем infected в почту safety@chklst.ru

выслал файл на проверку, пока обновления скачиваю. Загрузка до виндоус делал, еще до того как сюда написал, попробую снова

 

[safety]

если есть такая возможность, сделайте образ автозапуска системы из под winpe
в этой инструкции, как сделать загрузочную флэшку, и откуда можно скачать iso образ загрузочного диска.
Как избавиться от sms-банеров, блокирующих доступ к рабочему столу Windows - Форум технической поддержки ESET NOD32

 

[Wolfil14]

Все сделал. Только использовал стороннюю сборку с windows 8

 

[safety]

надо вначале в стартовом меню uVS выбрать каталог системы с жесткого диска (т.е. проблемную систему), а затем наживать на "текущий пользователь".

(по умолчанию в стартовом меню стоит текущая система - т.е. система с которой запускается uVS.)

сейчас у вас выполнен добавлен образ автозапуска системы с загрузочного диска
X:\WINDOWS\EXPLORER.EXE

 

[Wolfil14]

Понял, исправляюсь, кажется получилось.