Перейти к содержанию

nikhopka

Новички
  • Публикаций

    13
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о nikhopka

  • Статус
    Новичок
  1. Это будет в выходные, сейчас нельзя, к сожалению. Не могу знать, пока не пройдёт время, в ОЗУ появляется не сразу.
  2. Внешка закрыта, баз нет, таблиц тоже, файлы в директории перепроверила, пароли сменили. Сейчас должно быть пусто по идее. FRST.txtAddition.txt
  3. @SQ, сегодня прикрыла порт для MySQL, который торчал наружу. RDP учётки перебрала, отключила лишние, пассы поменяли. KVRT снова выловил в ОЗУ заразу Посмотрите, пожалуйста. FRST.txtAddition.txt
  4. @SQ, контрольный ) FRST.txtAddition.txt Спасибо, Андрей, дай Вам Бог здоровья.
  5. Сделано, сервер недоступен извне, БД вроде недоступна извне. А это критично вообще? Сейчас посмотрела - их физически по этим путям нет. MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился. Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли? FRST.txtAddition.txt Нет ни того, ни другого. После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?
  6. @SQ, File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys File: C:\Users\ss\Downloads\ritm.conf.exe Эти вещи я, кажется, знаю (они запущены постоянно): VSPE - программа для просбросов портов; ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива). Fixlog.txt Загрузила, только не поняла, что с этим делать: Что делать дальше? PS. А эти моменты актуальны? Поясните, пожалуйста. Где конкретно? Их удалить ручками?
  7. Да, извините, просто я могу этим заниматься только по выходным. Где конкретно? Нет. Их удалить ручками? Это придётся до завтра отложить. Завтра выложу. Как удалить эти вредоносные строки?
  8. Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц. Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..? Пофиксила. Прикрепила. Addition.txt FRST.txt
  9. Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант). После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts. Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП. Сам майнер заблочила штатными средствами. Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер
×
×
  • Создать...