Проверка сервера. Странная сетевая активность

[SLASH_id]

Начем с полного образа автозапуска.

HH_2018-01-18_00-03-51.7z

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

 

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

[SLASH_id]

Есть.
 

AutorunsVTchecker логов не создаёт, но по вирустоталу всё чисто.

MW_scan.txt

[regist]

 

 

AutorunsVTchecker логов не создаёт

отдельный лог и не нужен, это по сути дополнение к логу из первого поста.

 

MBAM деисталируйте. Вирусного ничего не заметил. Немного мусор почистим

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.3
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\FORTINET\FORTICLIENT\MDARE64_62.SYS
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.
   

+ Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

[SLASH_id]

Скрипт выполнен, sfc отработала без ошибок.

Гм. Результат:
тут:

 

:::::::: C:\Users\Administrator
:::::::: Thu 01/18/2018 / 4:29:43.68
:::::::: "Windows 8.1" / 64
:::::::: SafeZone.cc


:::::::::::::::::::::::::::::::::::::::::::::::::::::

... à ¢  €¤¬¨­¨áâà â®à  ¯®«ã祭ë...
.........sfco ErrorLevel [ 0 ]

......’¥ªã騩 ª â «®£: C:\ ......

...…áâì ¯à ¢  ¤®áâ㯠 ª «®£ ä ©« ¬...
:::::::::::::::::::::::::::::::::::::::::::::::::::::

------ SFCDoc parsing (start process) ------
.........sfco ErrorLevel [ 0 ]


஢¥àª  § ¢¥à襭 


2018-01-18 04:55:24, Info CSI 00000943 [SR] Verifying 34 (0x0000000000000022) components
2018-01-18 04:55:26, Info CSI 00000946 [SR] Repairing 0 components
2018-01-18 04:55:26, Info CSI 00000948 [SR] Repair complete


.........find ErrorLevel[ 0 ]
ˆá¯®«ì§®¢ ­ë ¤®¯®«­¨â¥«ì­ë¥ ¯ à ¬¥âàë:



......Žâªàë⨥ ¯ ¯ª¨...


:::::::::::::::::::::::::::::::::::::::::::::::::::::

SafeZone.cc , @ Š¨à¨««

 

 

2018-01-18_04-27-57_log.txt

[regist]

Странно, что ошибок не нашло. Даже из приложенного отчёта

 

 
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL

 
 
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

[SLASH_id]

 

 

DAVCLNT.DLL

А. Это кусок WebDAV. Я его кажется с год назад выпилил из IIS. Это норм.

Уязвимости пофикшу)

Спасибо.