serga612

Спасибо!

результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо. Промахнулся. https://www.virustotal.com/gui/file/190ce0a2fc65ec52860899c5597ddbff81d41d0fd673874b9ea0d5fa986e7378/detection

В данный момент на этом сервере она не воспроизводится. Т.к. серверов несколько (и время от времени оно возникает на них снова) то вариант лечения такой: KVRT + MBAM + контролировать ключи реестра из файла seth.bat?

Содержимое файла seth.bat: echo copy seth.exe "%windir%\system32" set d="%windir%\system32\seth.exe" reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "seth.exe" /f echo.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]>"%tmp%"\reg.txt && regini "%tmp%"\reg.txt && del "%tmp%"\reg.txt @attrib +s +h %d% @echo Y| cacls %d% /t /g SYSTEM:r @echo S| cacls %d% /t /g SYSTEM:r @echo J| cacls %d% /t /g SYSTEM:r @echo O| cacls %d% /t /

Задание планировщика C:\Temp\MonitProcess.ps1 мне известно C:\Temp\moveconversation.ps1 неи ( и сегодня нет уже людей на работе, которые могли бы прояснить), но я просмотрел текст скрипта и думаю, что знаю, кто его написал и вроде как это не должно запускать вирусы. Инструкцию выполнил. FARbar берёт данные из буфера обмена, или в ней пропущен пункт "вставить"? Лог прилагаю. Fixlog.txt

Сделано. Desktop.zip

Результат загрузки Файл сохранён как 190325_133853_quarantine_5c98d9ed1cfc2.zip Размер файла 8837 MD5 30bc46f472ca5fa8ea41e6f8443c7d13 Файл закачан, спасибо! Это был ответ по ссылке. По поводу сборщика логов - странный момент: Первый раз он у меня запустился и отработал нормально. Теперь всё время выдаёт сообщение: Вы запустили сборщик логов из терминальной сессии - Пожалуйста, запустите сборщик логов из консоли. Причём даже при запуске из консоли Hyper-V так происходит.

Cпасибо, сейчас сделаю. Я читал правила и прикреплял лог, видимо что-то пошло не так, а я этого не заметил. Кстати говоря, прочитав правила, я сначала запустил KVRT, а после того, как тот отработал - логгер. Может имеет смысл сначала запустить логгер, до того, как вирусы будут удалены с сервера? CollectionLog-2019.03.25-13.55.zip

Добрый день. На серверах появляются в запущенные процессы wahiver.exe Webisida.Browser SecureSurf.Browser Кроме этого 2 процесса запускаются как службы. KVRT это всё удаляет (а ещё быстрее я руками удаляю всю папку C:\Windows\Inf\NETLIBRARIESTIP), но оно возвращается каждый раз - т.е. источник всей этой заразы у меня найти не вышло.