noname 0 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 тогда просьба выполнить. Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microso...sql-server-2017) По инструкции не совсем понял как делать. Там было более 10 задач, на запуск exe файлов. Все удалил, теперь все ок. Спасибо за помощь. Очень плохо, что вы все удалили. Необходимо было прислать на анализ хотя бы исполняемые файлы, указанный на выполнение в задачах. Есть вероятность повторного заражения так как, вероятно, ещё неизвестен зловред, который выполняет это заражение. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 @noname, полностью согласен с вашим постом, но увы, согласно правилам раздела вы не имеете право отвечать и помогать в темах других пользователей. 1 Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Поставил сервер на место, думаю повторное заражение неизбежно. Как заразится, я сразу сделаю лог. Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 m0nster, смените на всякий случай пароли в SQL. И у тех пользователей которым не нужны административные права уберите их. Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 m0nster, смените на всякий случай пароли в SQL. И у тех пользователей которым не нужны административные права уберите их. Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL... Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL...Все возможно, по возможности необходимо обновлять версии продуктов. Также не упустите то, что в событиях фиксируются апаратные проблемы с диском. Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1 В завершение, если проблема не вернется выполните следующее: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 048 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy + Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat: tdsskiller.exe -silent -qmbr -qboot -qsus Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Запакуйте эту папку в архив с паролем "virus"; Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения Ссылка на сообщение Поделиться на другие сайты
m0nster 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy[/size] + Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat: tdsskiller.exe -silent -qmbr -qboot -qsus Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Запакуйте эту папку в архив с паролем "virus"; Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения Вот лог, папка не создалась:19:25:55.0705 0x1040 TDSS rootkit removing tool 3.1.0.17 Apr 20 2018 12:12:17 19:25:55.0705 0x1040 EULA was not accepted, exiting. For auto accept you could use -accepteula command line parameter. 19:25:55.0705 0x0564 Deinitialize success Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. Уязвимостей не найдено. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Есть подозрения на Trojan.Boot.DarkGalaxy Юра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. 1 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 048 Опубликовано 1 ноября, 2018 Share Опубликовано 1 ноября, 2018 (изменено) Есть подозрения на Trojan.Boot.DarkGalaxyЮра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. Мной отправлен запрос на доработку утилиты. Запрос приняли. Так что не знаю что там тебе Юра писал. Вот лог, папка не создалась: Попробуйте сохранить утилиту и бат файл в корень диска С. Изменено 1 ноября, 2018 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Yury.Parshin 0 Опубликовано 8 ноября, 2018 Share Опубликовано 8 ноября, 2018 Есть подозрения на Trojan.Boot.DarkGalaxyЮра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. TDSSKiller будет обновлен, только не так оперативно. 3 Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 9 ноября, 2018 Share Опубликовано 9 ноября, 2018 m0nster, Могли бы пожалуйста мне отправить логи (ссылку на логи) MS SQL в ЛС (личным сообщением), хотелось бы их проанализировать и понять, может будет какая-то информация о задачах: когда они появились, как и т.п. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти