Перейти к содержанию

[РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость


Рекомендуемые сообщения

Возможно в системе активный бэкдор.

(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

 

 

Сделайте, дополнительно

 

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Users\SQL\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-4150820699-1111902150-1132954-500\...\Run: [DarkComet RAT] => C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe [238080 2020-07-28] (Доступ не разрешён)  [Файл не подписан]
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба
2024-10-30 08:36 - 2024-10-30 08:36 - 000000000 ____D C:\Users\Администратор\Documents\DCSCMIN
2024-10-14 00:11 - 2023-05-29 15:45 - 000372042 _____ C:\Users\SQL\Desktop\toolconfig.rar
2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe
2024-10-14 00:07 - 2024-10-14 00:07 - 008038345 _____ C:\Users\SQL\Desktop\NLBrute 32bit.zip
2024-10-14 00:05 - 2024-10-14 00:05 - 000000000 ____D C:\Users\SQL\Desktop\NLB-Notepad Edition
2024-10-14 00:04 - 2023-09-12 12:02 - 009850366 _____ C:\Users\SQL\Desktop\NLB-Notepad.rar
2024-10-14 00:03 - 2024-10-14 00:03 - 000000000 ____D C:\Users\SQL\Documents\DCSCMIN
Reboot
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

физ доступ есть да я просто удаленно захожу через анидиск

Ссылка на комментарий
Поделиться на другие сайты

Возможно, придется лечиться либо из безопасного режима, либо из под Winpe, так как есть активное противодействие со стороны руткита.

 

Возможно цель злоумышленников - использовать данный сервер для продвижения по локальной сети. будьте внимательны. Возможно атака с шифровальщиком.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, safety сказал:

 

 

Fixlog.txt

 

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Скинул на ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Проверьте файл на Virustotal.com, дайте ссылку на результат проверки.

ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH) [Файл не подписан] <==== ВНИМАНИЕ

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, KZMZ сказал:

да , вижу что файл чистый.

Signed file, valid signature

 

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Если uVS так же с ошибкой будет запускаться из Safe mode, пробуйте тот же скрипт для FRST выполнить из безопасного режима. + добавить после этого новый Fixlog.txt (посмотрим, достанет он в SM заблокированную службу или придется лечиться из под Winpe).

 

по файлам:

C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

Kaspersky Backdoor.Win32.DarkKomet.aagt

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe

ESET-NOD32 Win32/HackTool.BruteForce.UP

https://www.virustotal.com/gui/file/ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

левая да, у меня только  1 учетка администратор - не левая

Изменено пользователем KZMZ
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • IvanMel
      Автор IvanMel
      Где то в начале января 2025 подцепил майнер cpu. Путем нахождения процесса через процесс хакер, по классике при запуске любого мониторинга по типу диспетчера основной процесс майнера тухнет и теряется из процессов, но осставляет за собой  левый процес updater, по нему вычислил где лежит зараза. Маскируется отовсюду либо за updater либо за edge браузером. Путем разных манипуляций пробовал чистить его майнер clean прогами, очисткой левых задач в винде, через CCleaner автозапуски и задачи, чистил реестр на сколько смог, через утилиты. Проблема решается на неделю, а именно до среды, в среду он как ни в чем не было восстанавливается отовсюду. Последняя надежда этот форум, не очень хочется ребутать винду. Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      2 - C:\Users\cinem\AppData\Roaming\driverUpdate тоже в такой же скрытой папке, ну уверен что это тоже от этого вируса но утилита его нашла и пометила; 
      3 - в планировщике задач;
      4 - в установленных прогах второй edge, находится только через ccleaner; 5 - в Ccleanere в запуске тоже есть от edge какой то автозапуск.
      Через утилиту находит только в безопасном режиме по обоим путям файлы (1 и 2 пункт выше) но при чистке в первой папке не удаляет все файлы, а только лишь один, оставшийся файлы в папке удалил вручную. Из найденных вирусов на скрине - онлайн фиксы для игры, dpi очевидно тоже считается вирусом, но этим программам уже много месяцев и они работают нормально, ну и процесс хакер это тот же диспетчер задач.
      Логи в архиве. 
       
      CollectionLog-2025.02.19-15.12.zip
    • Dimonovic
      Автор Dimonovic
      стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету
      CollectionLog-2024.11.30-21.42.zip
    • Magerattor J.
      Автор Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • ViM
      Автор ViM
      Нашел много постов с аналогичной проблемой, прощу помощи 
      Готов предоставить все нужные логи 

      https://forum.kasperskyclub.ru/topic/338960-resheno-dns-servera-vystavljajutsja-sami-127022-iz-za-jetogo-kak-ja-podozrevaju-ne-rabotajut-nekotorye-igry-i-ploho-rabotajut-nekotorye-sajty/
    • Евгения7777777777
      Автор Евгения7777777777
      В какой-то из дней ноут стал долго грузиться при включении. На нем стоит ssd. Ранее загрузка занимала 1-2с.
      Место на жестких есть, системный имеет свободное место 40+ гигов.
      CollectionLog-2023.12.14-20.24.zip
×
×
  • Создать...