Перейти к содержанию

на сервере 2008 х32 сама по себе стала включатся учетка гость


Рекомендуемые сообщения

Возможно в системе активный бэкдор.

(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

 

 

Сделайте, дополнительно

 

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Users\SQL\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-4150820699-1111902150-1132954-500\...\Run: [DarkComet RAT] => C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe [238080 2020-07-28] (Доступ не разрешён)  [Файл не подписан]
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба
2024-10-30 08:36 - 2024-10-30 08:36 - 000000000 ____D C:\Users\Администратор\Documents\DCSCMIN
2024-10-14 00:11 - 2023-05-29 15:45 - 000372042 _____ C:\Users\SQL\Desktop\toolconfig.rar
2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe
2024-10-14 00:07 - 2024-10-14 00:07 - 008038345 _____ C:\Users\SQL\Desktop\NLBrute 32bit.zip
2024-10-14 00:05 - 2024-10-14 00:05 - 000000000 ____D C:\Users\SQL\Desktop\NLB-Notepad Edition
2024-10-14 00:04 - 2023-09-12 12:02 - 009850366 _____ C:\Users\SQL\Desktop\NLB-Notepad.rar
2024-10-14 00:03 - 2024-10-14 00:03 - 000000000 ____D C:\Users\SQL\Documents\DCSCMIN
Reboot
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

физ доступ есть да я просто удаленно захожу через анидиск

Ссылка на сообщение
Поделиться на другие сайты

Возможно, придется лечиться либо из безопасного режима, либо из под Winpe, так как есть активное противодействие со стороны руткита.

 

Возможно цель злоумышленников - использовать данный сервер для продвижения по локальной сети. будьте внимательны. Возможно атака с шифровальщиком.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, safety сказал:

 

 

Fixlog.txt

 

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Скинул на ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Проверьте файл на Virustotal.com, дайте ссылку на результат проверки.

ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH) [Файл не подписан] <==== ВНИМАНИЕ

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, KZMZ сказал:

да , вижу что файл чистый.

Signed file, valid signature

 

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Если uVS так же с ошибкой будет запускаться из Safe mode, пробуйте тот же скрипт для FRST выполнить из безопасного режима. + добавить после этого новый Fixlog.txt (посмотрим, достанет он в SM заблокированную службу или придется лечиться из под Winpe).

 

по файлам:

C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

Kaspersky Backdoor.Win32.DarkKomet.aagt

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe

ESET-NOD32 Win32/HackTool.BruteForce.UP

https://www.virustotal.com/gui/file/ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, safety сказал:

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

левая да, у меня только  1 учетка администратор - не левая

Изменено пользователем KZMZ
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Dmitrij777
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip
    • Bernardo
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Andrian28
      От Andrian28
      Добрый вечер. Недавно просканировал ПК и нашёл вирус NET:MALWARE.URL.Помогите пожалуйста его удалить. Логи прикрепил
      log.zip
×
×
  • Создать...