Перейти к содержанию

nikhopka

Новички
 Профиль  Обзор контента

  • Публикаций

    13

  • Зарегистрирован

  • Посещение

Репутация

0

Информация о nikhopka

  • Статус
    Новичок
  1. nikhopka
    @SQ, пока вроде всё хорошо. Спасибо большое!
  2. nikhopka
    Это будет в выходные, сейчас нельзя, к сожалению. Не могу знать, пока не пройдёт время, в ОЗУ появляется не сразу.
  3. nikhopka
    Внешка закрыта, баз нет, таблиц тоже, файлы в директории перепроверила, пароли сменили. Сейчас должно быть пусто по идее. FRST.txtAddition.txt
  4. nikhopka
    @SQ, переделала. Addition.txtFRST.txtTDSSKiller.3.1.0.28_31.03.2020_07.15.29_log.txt
  5. nikhopka
    @SQ, сегодня прикрыла порт для MySQL, который торчал наружу. RDP учётки перебрала, отключила лишние, пассы поменяли. KVRT снова выловил в ОЗУ заразу Посмотрите, пожалуйста. FRST.txtAddition.txt
  6. nikhopka
    @SQ, контрольный ) FRST.txtAddition.txt Спасибо, Андрей, дай Вам Бог здоровья.
  7. nikhopka
    @SQ, FRST.txtAddition.txt
  8. nikhopka
    Fixlog.txt Что делать дальше (кроме MySQL - это я поняла)?
  9. nikhopka
    Сделано, сервер недоступен извне, БД вроде недоступна извне. А это критично вообще? Сейчас посмотрела - их физически по этим путям нет. MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился. Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли? FRST.txtAddition.txt Нет ни того, ни другого. После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?
  10. nikhopka
    @SQ, File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys File: C:\Users\ss\Downloads\ritm.conf.exe Эти вещи я, кажется, знаю (они запущены постоянно): VSPE - программа для просбросов портов; ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива). Fixlog.txt Загрузила, только не поняла, что с этим делать: Что делать дальше? PS. А эти моменты актуальны? Поясните, пожалуйста. Где конкретно? Их удалить ручками?
  11. nikhopka
    Да, извините, просто я могу этим заниматься только по выходным. Где конкретно? Нет. Их удалить ручками? Это придётся до завтра отложить. Завтра выложу. Как удалить эти вредоносные строки?
  12. nikhopka
    Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц. Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..? Пофиксила. Прикрепила. Addition.txt FRST.txt
  13. nikhopka
    Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант). После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts. Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП. Сам майнер заблочила штатными средствами. Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер
×
×
  • Создать...