Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость

KZMZ

Автор KZMZ
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    23

  • KZMZ

    17

Топ авторов темы

Популярные посты

KZMZ
KZMZ

вот сделал в безопасном очистку и потом скан Учетку папку SQL удалил я сам     FRST.txt Addition.txt Fixlog.txt

safety
safety

Есть возможность скачать скрипт из под Wipne в виде файла, тогда загрузите файл из вложения и сохраните его на диск. Далее, В главном меню uVS выбираем: Скрипты - выполнить скрипт из фа

safety
safety

По возможности, обновите данное ПО:   AnyDesk v.ad 7.0.4 Внимание! Скачать обновления   На этом лечение завершено. Возможно мы успели предотвратить  шифрование файлов. Будьте внима

Изображения в теме

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно в системе активный бэкдор.

(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

 

 

Сделайте, дополнительно

 

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано

крашится при запуске  нажатий"запустить под текущим пользователем"

Снимок экрана 2024-10-30 113316.jpg

Снимок экрана 2024-10-30 113441111111.png

safety

safety

Опубликовано
Опубликовано (изменено)

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы 

Start::
IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
(Доступ не разрешён)  [Файл не подписан] C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Users\SQL\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe,C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-4150820699-1111902150-1132954-500\...\Run: [DarkComet RAT] => C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe [238080 2020-07-28] (Доступ не разрешён)  [Файл не подписан]
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба
2024-10-30 08:36 - 2024-10-30 08:36 - 000000000 ____D C:\Users\Администратор\Documents\DCSCMIN
2024-10-14 00:11 - 2023-05-29 15:45 - 000372042 _____ C:\Users\SQL\Desktop\toolconfig.rar
2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe
2024-10-14 00:07 - 2024-10-14 00:07 - 008038345 _____ C:\Users\SQL\Desktop\NLBrute 32bit.zip
2024-10-14 00:05 - 2024-10-14 00:05 - 000000000 ____D C:\Users\SQL\Desktop\NLB-Notepad Edition
2024-10-14 00:04 - 2023-09-12 12:02 - 009850366 _____ C:\Users\SQL\Desktop\NLB-Notepad.rar
2024-10-14 00:03 - 2024-10-14 00:03 - 000000000 ____D C:\Users\SQL\Documents\DCSCMIN
Reboot
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Так понимаю, подключились удаленно к серверу.

Физический доступ есть к серверу?

Из безопасного режима системы можете проверить создание образа?

физ доступ есть да я просто удаленно захожу через анидиск

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, придется лечиться либо из безопасного режима, либо из под Winpe, так как есть активное противодействие со стороны руткита.

 

Возможно цель злоумышленников - использовать данный сервер для продвижения по локальной сети. будьте внимательны. Возможно атака с шифровальщиком.

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано (изменено)
4 часа назад, safety сказал:

 

 

Fixlog.txt

 

Цитата

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

 

Скинул на ЛС

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Судя по очистке, что-то получилось.

Новые логи FRST сделайте. пожалуйста, для контроля

safety

safety

Опубликовано
Опубликовано (изменено)

Проверьте файл на Virustotal.com, дайте ссылку на результат проверки.

ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (philandro Software GmbH -> AnyDesk Software GmbH) [Файл не подписан] <==== ВНИМАНИЕ

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
24 минуты назад, KZMZ сказал:

https://www.virustotal.com/gui/file/fa0f2e683c50d4908381e6ef16edcec29cc3f1d225b63de58f83d1c9bd854ff9/detection

по анидиск я удаленно захожу

да , вижу что файл чистый.

Signed file, valid signature

 

Служба осталась заблокированной

"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
HKLM\SYSTEM\ControlSet001\Services\Ms30FD5E80App => C:\Windows\System32\Ms30FD5E80App.dll <==== ВНИМАНИЕ (Rootkit!/Заблокированная служба)

----------

попробуйте еще раз запустить uVS, если ошибка повторится, проверьте это же в безопасном режиме системы.

 

Если uVS так же с ошибкой будет запускаться из Safe mode, пробуйте тот же скрипт для FRST выполнить из безопасного режима. + добавить после этого новый Fixlog.txt (посмотрим, достанет он в SM заблокированную службу или придется лечиться из под Winpe).

 

по файлам: 

C:\Users\Администратор\Documents\DCSCMIN\IMDCSC.exe

Kaspersky Backdoor.Win32.DarkKomet.aagt

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506 

2024-10-14 00:08 - 2016-09-08 13:15 - 008168448 _____ C:\Users\SQL\Desktop\NLBrute.exe

ESET-NOD32 Win32/HackTool.BruteForce.UP

https://www.virustotal.com/gui/file/ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано (изменено)
2 часа назад, safety сказал:

Учетная запись ваша, или левая?

2024-10-13 23:58 - 2024-10-14 00:12 - 000000000 ____D C:\Users\SQL

 

левая да, у меня только  1 учетка администратор - не левая

Изменено пользователем KZMZ
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
    • ptrfctn
      [РЕШЕНО] Не могу удалить вирусный адблок
      Автор ptrfctn
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста
      CollectionLog-2026.05.21-03.16.zip
×
×
  • Создать...