Перейти к содержанию

[РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость


Рекомендуемые сообщения

  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

  • safety

    23

  • KZMZ

    17

Top Posters In This Topic

Popular Posts

вот сделал в безопасном очистку и потом скан Учетку папку SQL удалил я сам     FRST.txt Addition.txt Fixlog.txt

Есть возможность скачать скрипт из под Wipne в виде файла, тогда загрузите файл из вложения и сохраните его на диск. Далее, В главном меню uVS выбираем: Скрипты - выполнить скрипт из фа

По возможности, обновите данное ПО:   AnyDesk v.ad 7.0.4 Внимание! Скачать обновления   На этом лечение завершено. Возможно мы успели предотвратить  шифрование файлов. Будьте внима

Posted Images

Возможно в системе активный бэкдор.

(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

 

 

Сделайте, дополнительно

 

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

Start::
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Users\SQL\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-4150820699-1111902150-1132954-500\...\Run: [DarkComet RAT] => C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe [238080 2020-07-28] (Доступ не разрешён)  [Файл не подписан]
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба
2024-10-30 08:36 - 2024-10-30 08:36 - 000000000 ____D C:\Users\Администратор\Documents\DCSCMIN
2024-10-14 00:11 - 2023-05-29 15:45 - 000372042 _____ C:\Users\SQL\Desktop\toolconfig.rar
2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe
2024-10-14 00:07 - 2024-10-14 00:07 - 008038345 _____ C:\Users\SQL\Desktop\NLBrute 32bit.zip
2024-10-14 00:05 - 2024-10-14 00:05 - 000000000 ____D C:\Users\SQL\Desktop\NLB-Notepad Edition
2024-10-14 00:04 - 2023-09-12 12:02 - 009850366 _____ C:\Users\SQL\Desktop\NLB-Notepad.rar
2024-10-14 00:03 - 2024-10-14 00:03 - 000000000 ____D C:\Users\SQL\Documents\DCSCMIN
Reboot
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

физ доступ есть да я просто удаленно захожу через анидиск

Ссылка на сообщение
Поделиться на другие сайты

Возможно, придется лечиться либо из безопасного режима, либо из под Winpe, так как есть активное противодействие со стороны руткита.

 

Возможно цель злоумышленников - использовать данный сервер для продвижения по локальной сети. будьте внимательны. Возможно атака с шифровальщиком.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, safety сказал:

 

 

Fixlog.txt

 

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Скинул на ЛС

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Проверьте файл на Virustotal.com, дайте ссылку на результат проверки.

ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH) [Файл не подписан] <==== ВНИМАНИЕ

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, KZMZ сказал:

да , вижу что файл чистый.

Signed file, valid signature

 

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Если uVS так же с ошибкой будет запускаться из Safe mode, пробуйте тот же скрипт для FRST выполнить из безопасного режима. + добавить после этого новый Fixlog.txt (посмотрим, достанет он в SM заблокированную службу или придется лечиться из под Winpe).

 

по файлам:

C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

Kaspersky Backdoor.Win32.DarkKomet.aagt

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe

ESET-NOD32 Win32/HackTool.BruteForce.UP

https://www.virustotal.com/gui/file/ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, safety сказал:

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

левая да, у меня только  1 учетка администратор - не левая

Изменено пользователем KZMZ
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Ars13
      От Ars13
      Касперский нашел вирус HEUR: Trojan. Multi.GenBadur.genw
      Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять все повторяется.
       
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • Dmitrij777
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip

×
×
  • Создать...