noname Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 тогда просьба выполнить. Можете пожалуйста прислать экспорт задач? (инструкция - https://docs.microso...sql-server-2017) По инструкции не совсем понял как делать. Там было более 10 задач, на запуск exe файлов. Все удалил, теперь все ок. Спасибо за помощь. Очень плохо, что вы все удалили. Необходимо было прислать на анализ хотя бы исполняемые файлы, указанный на выполнение в задачах. Есть вероятность повторного заражения так как, вероятно, ещё неизвестен зловред, который выполняет это заражение. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 @noname, полностью согласен с вашим постом, но увы, согласно правилам раздела вы не имеете право отвечать и помогать в темах других пользователей. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Поставил сервер на место, думаю повторное заражение неизбежно. Как заразится, я сразу сделаю лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 m0nster, смените на всякий случай пароли в SQL. И у тех пользователей которым не нужны административные права уберите их. Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 m0nster, смените на всякий случай пароли в SQL. И у тех пользователей которым не нужны административные права уберите их. Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL... Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Это я уже сделал. Спасибо. Я думаю они использовали какую то уязвимость в SQL...Все возможно, по возможности необходимо обновлять версии продуктов. Также не упустите то, что в событиях фиксируются апаратные проблемы с диском. Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1 В завершение, если проблема не вернется выполните следующее: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy + Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat: tdsskiller.exe -silent -qmbr -qboot -qsus Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Запакуйте эту папку в архив с паролем "virus"; Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения Ссылка на комментарий Поделиться на другие сайты More sharing options...
m0nster Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 Не нравится мне загрузочный сектор у Вас. Есть подозрения на Trojan.Boot.DarkGalaxy[/size] + Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat: tdsskiller.exe -silent -qmbr -qboot -qsus Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Запакуйте эту папку в архив с паролем "virus"; Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения Вот лог, папка не создалась:19:25:55.0705 0x1040 TDSS rootkit removing tool 3.1.0.17 Apr 20 2018 12:12:17 19:25:55.0705 0x1040 EULA was not accepted, exiting. For auto accept you could use -accepteula command line parameter. 19:25:55.0705 0x0564 Deinitialize success Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. Уязвимостей не найдено. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 31 октября, 2018 Share Опубликовано 31 октября, 2018 Есть подозрения на Trojan.Boot.DarkGalaxy Юра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 1 ноября, 2018 Share Опубликовано 1 ноября, 2018 (изменено) Есть подозрения на Trojan.Boot.DarkGalaxyЮра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. Мной отправлен запрос на доработку утилиты. Запрос приняли. Так что не знаю что там тебе Юра писал. Вот лог, папка не создалась: Попробуйте сохранить утилиту и бат файл в корень диска С. Изменено 1 ноября, 2018 пользователем mike 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Yury.Parshin Опубликовано 8 ноября, 2018 Share Опубликовано 8 ноября, 2018 Есть подозрения на Trojan.Boot.DarkGalaxyЮра добавил его лечение в KVRT ещё 12-го сентябра, а киллер под его лечение обновляться не будет. TDSSKiller будет обновлен, только не так оперативно. 3 Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 9 ноября, 2018 Share Опубликовано 9 ноября, 2018 m0nster, Могли бы пожалуйста мне отправить логи (ссылку на логи) MS SQL в ЛС (личным сообщением), хотелось бы их проанализировать и понять, может будет какая-то информация о задачах: когда они появились, как и т.п. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти