Перейти к содержимому


Фотография
- - - - -

Постоянно вылезающий вирус на сервере

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 30 Март 2019 - 12:45

Доброго времени суток.

На компьютере Касперский стал ругаться на вирус NetworkDistribution

Удаляет, перезагружает, ругается снова.. И так до бесконечности может развлекаться.

При этом постоянно появляется папкка C:\Windows\NetworkDistribution которая после зачистке восстанавливается.

 

Создается (обязательно) после перезагрузки.

Создается сама по себе через какое-то время, даже если с компом ничего не делать.

Это не зависит от наличия или отсутствия сети.

Так же не зависит от каких-нибудь браузеров.

 

Сервер, библиотечный. Перезагружать не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше)

 

Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622

 

4a7e61301bff.jpg

 

Если скажете как его отключить буду очень благодарен

 

P.S. Аналогичный вирус гоняли тут

Прикрепленные файлы


Сообщение отредактировал Saiberex: 30 Март 2019 - 12:51

  • 0

Я старый пират и не знаю слов лицензионного соглашения.


#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 30 Март 2019 - 13:43

Выполните скрипт в AVZ из папки Autologger
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\RemoteUPnPHost.dll','');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFile('C:\Windows\system32\RemoteUPnPHost.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteUPnPHost\Parameters','ServiceDll','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   mitrich08

mitrich08

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 30 Март 2019 - 13:43

[ex='thyrex']У вас нет прав оказания помощи в данном разделе[/ex]


  • 0

#4 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 30 Март 2019 - 15:15

Готово

И можно чуть поподорбнее инструкции к действию, а то у Вас столько программ, что теряешься...

Прикрепленные файлы


Сообщение отредактировал Saiberex: 30 Март 2019 - 15:17

  • 0

Я старый пират и не знаю слов лицензионного соглашения.


#5 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 30 Март 2019 - 15:26

Папку C:\Windows\NetworkDistribution удалите вручную.

 

Проблема решена?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#6 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 30 Март 2019 - 16:12

Да, походу проблема решена.

Спасибо.


  • 0

Я старый пират и не знаю слов лицензионного соглашения.


#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 30 Март 2019 - 16:22

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#8 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 30 Март 2019 - 16:32

eb1e4bb0f9ce.jpg


  • 0

Я старый пират и не знаю слов лицензионного соглашения.


#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 30 Март 2019 - 16:47

Ну тогда в обязательном порядке установите ВСЕ доступные обновления для сервера.

На этом закончим.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 30 Март 2019 - 16:50

Ок принято.

До встречи, очень скорой )


  • 0

Я старый пират и не знаю слов лицензионного соглашения.


#11 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 30 Март 2019 - 19:38

Уязвимости можете так проверить:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • 0
Изображение

#12 OFF   Saiberex

Saiberex

    Постоялец

  • Участники
  • Pip
  • Cообщений: 76

Отправлено 06 Апрель 2019 - 10:44

ОК сделано. Вирусов больше нет, спасибо.


  • 0

Я старый пират и не знаю слов лицензионного соглашения.





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных