iceberg31 Опубликовано 22 октября, 2017 Опубликовано 22 октября, 2017 Служба управления удалённым доступом (Windows Server 2012R) съедает всю оперативную память, с сервером невозможно работать. Сервер дважды подвергался атаки шифровальщика, но там никаких ценных данных нет. Сканирование антивирусными программами - результата не даёт. Просим совет специалистов. CollectionLog-2017.10.22-11.12.zip
Sandor Опубликовано 22 октября, 2017 Опубликовано 22 октября, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Windows\Fonts\taskhost.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); DeleteFile('C:\Windows\Fonts\taskhost.exe', '32'); DeleteFile('C:\Windows\svchost.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'svchost'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Sandor Опубликовано 23 октября, 2017 Опубликовано 23 октября, 2017 + Посмотрите, пожалуйста, есть ли такой файл? C:\Windows\system32\mblctr.exe
iceberg31 Опубликовано 24 октября, 2017 Автор Опубликовано 24 октября, 2017 После выполнения скрипта в AVZ проблема исчезла. Большое спасибо!
Sandor Опубликовано 24 октября, 2017 Опубликовано 24 октября, 2017 есть ли такой файл?Не ответили. Контрольный лог все же покажите.
iceberg31 Опубликовано 24 октября, 2017 Автор Опубликовано 24 октября, 2017 Чуть позже всё выложу, это был сервер охранной зоны. Сегодня занимаюсь сервером гостиницы.
iceberg31 Опубликовано 25 октября, 2017 Автор Опубликовано 25 октября, 2017 + Посмотрите, пожалуйста, есть ли такой файл? C:\Windows\system32\mblctr.exe данного файла - нет. Лог прикладываю CollectionLog-2017.10.25-11.50.zip
Sandor Опубликовано 25 октября, 2017 Опубликовано 25 октября, 2017 Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти