Hendehog 0 Опубликовано 26 июля Share Опубликовано 26 июля Здравствуйте. У Пролечили сервер от заразы, возможно нас через уязвимости публичный ломают. После этого прошел месяц - просканировали, опять вирусные файлы. Помогите понять где у нас дыра, и как ее прикрыть. CollectionLog-2022.07.26-14.47.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1032 Опубликовано 26 июля Share Опубликовано 26 июля Здравствуйте! 2 часа назад, Hendehog сказал: просканировали, опять вирусные файлы Чем сканировали? Логи сохранились? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Sandor 1032 Опубликовано 26 июля Share Опубликовано 26 июля + Запустите, пожалуйста, программу HiJackThis отсюда: c:\users\valov.aa\desktop\autologger\autologger\HiJackThis\HiJackThis.exe соберите и прикрепите лог (инструкция). Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 27 июля Автор Share Опубликовано 27 июля 15 hours ago, Sandor said: Логи KVRT. Логи Farbar Recovery Scan Tool HiJackThis Fork, второй раз при сканировании почему-то процесс зависает. Попробую подождать подольше, может отвиснет. Лог KVRT.zip Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1032 Опубликовано 27 июля Share Опубликовано 27 июля 17 часов назад, Sandor сказал: Запустите, пожалуйста, программу HiJackThis отсюда: c:\users\valov.aa\desktop\autologger\autologger\HiJackThis\HiJackThis.exe А ссылка, которую вы привели в вашем сообщении ведет к тестовой версии. Так вы какую из них запускали? По системе: Достаточно большое количество портов, к которым разрешен доступ в Брандмауэре. Вполне вероятно, что это и есть источник повторного заражения. Открывали доступ самостоятельно или будем закрывать? Цитата FirewallRules: [{636D7327-42E8-4976-867E-D92F2E41CBB8}] => (Allow) LPort=RPC FirewallRules: [{7D2C8439-351A-4674-823E-7057A392912B}] => (Allow) LPort=587 FirewallRules: [{4612A6AF-1E25-4A04-AC3A-52AE10A1C862}] => (Allow) LPort=80 FirewallRules: [{282049F9-F4D9-4F1A-B8E1-D2893278BB55}] => (Allow) LPort=443 FirewallRules: [{6926201F-5390-4150-8949-9F36185F0AD7}] => (Allow) LPort=1995 FirewallRules: [{3E7647D8-1F07-41AD-9DF0-D2103D19C469}] => (Allow) LPort=5077 FirewallRules: [{9AE2B4F1-B73D-4F56-9689-729F0E6D37BA}] => (Allow) LPort=808 FirewallRules: [{3D3AB64B-2814-4ECE-AE65-861855FD5088}] => (Allow) LPort=64339 FirewallRules: [{5902DFCA-A80E-4A6A-8BAC-3A31E708E40A}] => (Allow) LPort=808 FirewallRules: [{502240CA-D9CD-4F4A-95CD-F6D23F8053E7}] => (Allow) LPort=80 FirewallRules: [{0ED46E1D-3459-4CB2-9E43-868005F61D1E}] => (Allow) LPort=444 FirewallRules: [{5105E5C1-B834-48A3-AB4D-973FF8CC5854}] => (Allow) LPort=64328 FirewallRules: [{0914EDFE-3F51-43D5-98B8-922C4B8BBA97}] => (Allow) LPort=139 FirewallRules: [{2FD4ACB5-7777-4F56-A302-9EEAF38A08C8}] => (Allow) LPort=993 FirewallRules: [{B028D83F-B463-4872-A565-AB041365D5E9}] => (Allow) LPort=1688 Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 27 июля Автор Share Опубликовано 27 июля Будем закрывать. Часть портов думаю нужна - почтовый сервер крутится все таки. HiJackThis.log Ссылка на сообщение Поделиться на другие сайты
Sandor 1032 Опубликовано 27 июля Share Опубликовано 27 июля 1 час назад, Sandor сказал: ссылка, которую вы привели в вашем сообщении ведет к тестовой версии. Так вы какую из них запускали? Не ответили. 3 минуты назад, Hendehog сказал: Будем закрывать Самостоятельно закроете или дать скрипт? Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 27 июля Автор Share Опубликовано 27 июля 6 minutes ago, Sandor said: Не ответили. Самостоятельно закроете или дать скрипт? Дайте пожалуйста скрипт. Утилиту запускал из папки с автологером. Помимо портов, скажите пожалуйста, как нас ломают? Есть мысли? Ссылка на сообщение Поделиться на другие сайты
Sandor 1032 Опубликовано 27 июля Share Опубликовано 27 июля 1 минуту назад, Hendehog сказал: как нас ломают? Открытого наружу порта достаточно. Закроем, а вы подумайте об установке постоянной защиты. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-4144156682-471372856-3921063978-1103\...\MountPoints2: {6273a1ec-bd50-11ea-b94b-806e6f6e6963} - "E:\setup.exe" FirewallRules: [{7D2C8439-351A-4674-823E-7057A392912B}] => (Allow) LPort=587 FirewallRules: [{4612A6AF-1E25-4A04-AC3A-52AE10A1C862}] => (Allow) LPort=80 FirewallRules: [{282049F9-F4D9-4F1A-B8E1-D2893278BB55}] => (Allow) LPort=443 FirewallRules: [{6926201F-5390-4150-8949-9F36185F0AD7}] => (Allow) LPort=1995 FirewallRules: [{3E7647D8-1F07-41AD-9DF0-D2103D19C469}] => (Allow) LPort=5077 FirewallRules: [{9AE2B4F1-B73D-4F56-9689-729F0E6D37BA}] => (Allow) LPort=808 FirewallRules: [{3D3AB64B-2814-4ECE-AE65-861855FD5088}] => (Allow) LPort=64339 FirewallRules: [{5902DFCA-A80E-4A6A-8BAC-3A31E708E40A}] => (Allow) LPort=808 FirewallRules: [{502240CA-D9CD-4F4A-95CD-F6D23F8053E7}] => (Allow) LPort=80 FirewallRules: [{0ED46E1D-3459-4CB2-9E43-868005F61D1E}] => (Allow) LPort=444 FirewallRules: [{5105E5C1-B834-48A3-AB4D-973FF8CC5854}] => (Allow) LPort=64328 FirewallRules: [{0914EDFE-3F51-43D5-98B8-922C4B8BBA97}] => (Allow) LPort=139 FirewallRules: [{2FD4ACB5-7777-4F56-A302-9EEAF38A08C8}] => (Allow) LPort=993 FirewallRules: [{B028D83F-B463-4872-A565-AB041365D5E9}] => (Allow) LPort=1688 FirewallRules: [TCP Query User{3685FD61-36BC-47C3-953F-E69A87642FB6}C:\windows\system32\windowspowershell\v1.0\powershell.exe] => (Allow) powershell.exe => Нет файла FirewallRules: [UDP Query User{19B249B6-A0DE-4020-8FFE-57636B6916BE}C:\windows\system32\windowspowershell\v1.0\powershell.exe] => (Allow) powershell.exe => Нет файла End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Hendehog 0 Опубликовано 1 августа Автор Share Опубликовано 1 августа Спасибо за помощь, тему можно закрывать Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения