Перейти к содержимому


Фотография
- - - - -

Вирусная активность на сервере

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 08:43

Добрый день!

На сервере win 2008 r2 стоит антивирус касперского, но при этом замечаю некое странное поведение - подозрительно долго открываются сетевые ресурсы. (Ранее он был заражен вирусом, вроде вылечил, но возможно остались следы)

Не смогли бы посодействовать в избавлении от этой заразы? 

файл лога AutoLogger прикладываю

Заранее спасибо

Прикрепленные файлы


  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 02 Октябрь 2019 - 08:53

Maugli_kzn, это другой компьютер?
Файлы

C:\Users\din\Desktop\Miner18\Gogo.bat
c:\windows\system32\wbem\123.bat

вам известны?

Следы Dr.Web очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.
  • 0
Изображение

#3 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 09:38

нет, не мои эти батники... есть несколько батников - они в корне диска С


 


  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 02 Октябрь 2019 - 12:08

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 13:22

прикрепил

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   41,25К   скачиваний 1
  • Прикрепленный файл  FRST.txt   29,45К   скачиваний 1

  • 0

#6 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 02 Октябрь 2019 - 13:28

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ATTENTION
    WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer_disabled::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    MSCONFIG\startupreg: BGClients => cmd /c start /min c:\windows\system32\wbem\123.bat
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 13:39

в данный момент перезагрузить сервер нет возможности. Через час перезагружу, спасибо!


прикрепил

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,07К   скачиваний 1

  • 0

#8 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 02 Октябрь 2019 - 17:49


 

сделал. лог прикладываю. при включении какая-та служба пытается запустить 123.bat из папки c:\windows\system32\wbem\123.bat но не находит файл

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,08К   скачиваний 0

  • 0

#9 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 03 Октябрь 2019 - 08:32

Виноват, это я пропустил, сейчас исправим.

"Пофиксите" в HijackThis:
O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat

  • 0
Изображение

#10 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 03 Октябрь 2019 - 15:09

Виноват, это я пропустил, сейчас исправим.

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat

сделал. Меня еще смущают в отчете программы HijackThis ссылки на dns 8.8.8.8


  • 0

#11 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 03 Октябрь 2019 - 16:04

Смотрите настройки сетевого адаптера, если считаете это неправильным.
  • 0
Изображение

#12 OFF   Maugli_kzn

Maugli_kzn

    Новичок

  • Новички
  • Cообщений: 24

Отправлено 03 Октябрь 2019 - 16:27

Смотрите настройки сетевого адаптера, если считаете это неправильным.

в настройках сетевой карты нету этого dns. Там только dns контроллера домена указан.


  • 0

#13 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 290

Отправлено 03 Октябрь 2019 - 16:39

Эти две строки можете тоже "пофиксить".
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных