• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте, чтобы узнать больше. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Зловред, а может и больше idk

В

виктор_лютый

Ученик
Почётный участник
Регистрация
2 Дек 2010
Сообщения
1,130
Реакции
0
Баллы
0
Зловред, а может и больше idk

Присказка:

Есть у меня отдельный пк для хоста различной мелочи:
hfs.exe(ftp), kaillera(хост сервер для эмуляторов),сервер team speck, раньше хостил counter-strike(для чего и ставился аппарат).
Физичиски машина стоит в коридоре на отдельном интернете, доступ по средствам radmin 3.4. Так как подразумевалось автономная работа был выключен; (windows)DEP, брандмауер(кому я нужен xD).
Пару лет все это прекрасно работало. но недавно начал "глючить" team speck, Захожу в радмин и здравствуйте в системе появляется новый пользователь(новая учетная запись пользователя windows),удаляю пользователя включаю брандмауер, забиваю ибо некогда.
На днях ts умирает окончательно (ребут пк 10 мин. работы dc)
Захожу и вижу картину маслом пк тупо виснет от вирусни xD.
сделано: cureit около 64 удалений(не все успешно), установил аваст около 6 угроз обезврежено, радмин, включил фильтр по ip поменял порт логин пароль.
На утро наблюдаю выключенный пк (чего быть не должно. по идеи) отключены все экраны аваста, выключен защитник шиндовс(оба ограничены групповой политикой) и вот я здесь:

Суть:


Требуется помощь с вирусней и вытекающими вопросами на тему дальнейшей безопасной работы.
Заранее спасибо!

Ос win7 ult. 32
uvs
 

Вложения

Последнее редактирование:
а что курит находит? можно добавить лог проверки, что он удалил?
 
о серьезные люди.
safety доброго времени суток, cureit хранит их в C:\Users\%username%\Doctor Web???
по факту сканирование гонял несколько раз параллельно чистил пк ccleaner'ом
(я их не затер?)
если так то вот:
 

Вложения

там есть текстовый лог на 13Мб, вот в нем можно поискать то что он удалил, только сделайте это самостоятельно.
 
safety, не вопрос. но мне логи как обычному пользователю не говорят не о чем. какого вида записи нужно выделить и в каком виде предоставить?

Я в этом вопросе несведущ и не вижу информационной нагрузки в записях рода:

Total 85 virus bases are loaded from C:\Users\admin\AppData\Local\Temp\DA2EF172-9E028C88-5F831740-3AC914A6\
0bQ0nOPI 11.0 85fad3213e58f6431ff2aaa2e7080a8697370140 2016/09/26 10:31:18 6603 records - OK
118tLnF6 11.0 84791b78d7db9c393fd3facbffa0612fa44e8a21 2016/04/01 14:00:00 939815 records - OK
1dJOvAukzbTpB 11.0 6041e1fadec54e87691d09de2ce397d9564f790c 2016/09/05 10:14:39 16931 records - OK и тдп........
 
Последнее редактирование:
судя по логу курит ничего не нашел.

Total 4378187308 bytes in 28781 files scanned (32210 objects)
Total 28789 files (32170 objects) are clean
There are no infected objects detected
Total 37 files are raised error condition
Scan time is 00:05:09.300
Нажмите для раскрытия...
 
судя по образу, профиль в системе один.
Текущий пользователь: server\admin

пробуйте временно деинсталлировать Аваст и понаблюдать за проблемами
 
т.е. на данный момент система чистая?
 
RemoteAdministrator временно удалите, тем самым вы лишите возможного злоумышленника инструмента удаленного доступа. Поюзайте временно AmmyAdmin для удалёнки. Если всё придёт в норму - ищите чела с RAdmin-ом. Также сканируйте систему на предмет keyloggera, ведь откуда-то вражина получает ваши пароли даже после их изменения.

Также смотрите, что в Планировщике задач прописалось, не исключено, что оттуда старт всему дается путём автозапуска скрипта.
 
AlexZir,
radmin виснет на логине через-раз(чего никогда не наблюдалось, причем именно управление передача файлов к примеру работает в этот момент) перешел на TeamViewer.
 
Последнее редактирование:
клиентский модуль RAdmin-а уже давно (как минимум лет 10) используется разными шпионскими программами и троянами, так что неудивительно, что у вас появились проблемы.
 
AlexZir написал(а):
клиентский модуль RAdmin-а уже давно (как минимум лет 10) используется разными шпионскими программами и троянами, так что неудивительно, что у вас появились проблемы
Нажмите для раскрытия...
Алексей, смотря какая версия Radmin. 3.4 я думаю нормально защищена. (актуальная сейчас 3.5). А вот Ammyy Admin как то вышел из доверия. В последнее время была информация, что сайт часто взламывают, и под видом Ammyy Admin были выложены для скачивания трояны и шифраторы.

Антивирусная компания ESET в четверг сообщила об обнаружении нового вектора кибератаки Buhtrap, нацеленной на российский бизнес. Злоумышленники скомпрометировали дистрибутивы популярной системы удаленного доступа и администрирования Ammyy Admin.

Киберкампания «Операция Buhtrap» («ловушка для бухгалтера») была раскрыта ESET весной 2015 года. Атакующие распространяли банковское шпионское ПО, используя фишинговую рассылку и набор вредоносных программ для контроля над зараженным ПК. 88% жертв атаки – компании из России.

В октябре 2015 года аналитики ESET обнаружили вредоносную активность на сайте компании Ammyy Group. Злоумышленникам удалось загрузить на сервер модификацию дистрибутива программы Ammyy Admin, содержащую установщик легитимной программы и вредоносное ПО группы Buhtrap. Скомпрометированный дистрибутив был доступен для загрузки около недели.
Нажмите для раскрытия...
https://news.softodrom.ru/ap/b23593.shtml

Сайт Ammyy Admin был взломан как минимум 2 дня

Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.
Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.
Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.
Нажмите для раскрытия...
https://www.comss.ru/page.php?id=3377
 
Александр, этой новости полгода уже, бинарник давно уже перепаковали. Но за напоминание спасибо отдельное.
В принципе, TeamViewer вполне себе нормальная замена. К тому же я советовал временно перейти на другого клиента удаленки, до выяснения причин, так сказать.

Учитывая установленную у топикстартера версию ОС, предполагаю, что вряд ли там лицензия, скорее, сборка с кучей дополнительного софта. Из предположения можно сделать предварительный вывод, что последними версиями RAdmin там тоже не пахнет.
 
согласен, можно было временно отключить radmin server и другим способом понаблюдать за системой.

судя по списку установленных программ:
установлен Radmin Server 3.4

вообще r_server с цифровой подписью.
C:\WINDOWS\SYSTEM32\RSERVER30\RSERVER3.EXE
3, 4, 0, 0
Действительна, подписано Famatech International Corp.,
 
Хех, получилось как у классика "Пастернака не читал, но осуждаю". Надо было мне всё-таки в лог глянуть перед предварительными выводами :))
 
на один из файлов из каталога rserver30 таки ругается Касперский, так что скорее всего пакет радмин без действительной лицензии

Полное имя C:\WINDOWS\SYSTEM32\RSERVER30\WSOCK32.DLL
Имя файла WSOCK32.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ПРОВЕРЕННЫЙ DLL

www.virustotal.com 2017-02-28
Kaspersky not-a-virus:RemoteAdmin.Win32.RAdmin.wk
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ DLL
File_Id 2A425E19D000
Linker 2.25
Размер 30720 байт
Создан 13.01.2010 в 23:54:24
Изменен 13.01.2010 в 23:54:24

TimeStamp 19.06.1992 в 22:22:17
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя WSOCK32.DLL
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 2.3.0.0
Описание Famatech Radmin Server Expansion
Производитель Famatech Fan Club

Доп. информация на момент обновления списка
SHA1 968DA067C976004DE73087E641217C204B20AB3F
MD5 A094EFFBB91BA2002F815340EDA30890

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\RSERVER30\RSERVER3.EXE

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
Нажмите для раскрытия...
 
safety написал(а):
WSOCK32.DLL
Нажмите для раскрытия...
Насколько помнится, он отвечает за сетевую активность. Системная библиотека в каталоге прикладной программы - это подозрительно. Так что немудрено.
 
наблюдается тенденция периодически выключаться, у того пк естессно нема монитора и прочего, ташить его до своего рабочего места, отключать свой рабочий пк и тдп. такой геморой...
что его крашит ума не приложу (минидамп пустой,журнал офф был), хоть шиндовс переставляй кек.
За что все не любят винду, "стабильность не не слышали"...
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху