Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус на RDP сервере (не могу поймать)

b7rracuda

Автор b7rracuda
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

b7rracuda

b7rracuda

Опубликовано
Опубликовано

Добрый день форумчане. Нужна ваша помощь и подсказки. Ситуация сл.:

Имею сервер приложений на базе w2008r2 sp1.
Сервер не имеет доступа в интернет.
Захожу на сервер, с него по RDP лезу на соседний сервер, и как то странно начинает себя вести подключение, очень долго висит (около секунд 20-40) после подключается.
Сделал переподключение, все по прежнему, не сбой сети.
Запустил TCPVIEW и немного офигел. При инициализации подключения на какое либо сетевое устройство по RDP появляются сл записи:
mstsc.exe > 192.168.1.2 > 3389
Нормально, но помимо моей сессии открывается еще одна/две на внешние адреса:
mstsc.exe > куда то в интернет > 80

Пробивал адреса в интернете, один из 4х оказался в черном списке какого то зарубежного сайта, там народ жаловался на трояна. Все адреса USA.

Сколько я не ловил эту сволочь, так поймать не смог. Пересмотрел все папки, даты создания фалов, автозапуски, process explorer, avz тоже ничего не показали. В общем везде потыркал так ничего и не нашел. Эта гадина изолирована, в нет не попадает. Доступ в инет с сервера разрешен только на определенных хосты.

 

Куда копать господа подскажите.

Ссылка на комментарий
Поделиться на другие сайты
b7rracuda

b7rracuda

Опубликовано
  • Автор
Опубликовано (изменено)

Я конечно извиняюсь, я не хотел бы нарушать правила форума. Но так как сервер боевой, то установка антивирусного по при условии активности вируса - дело опасное.

Встречался как то с вирусом который при установки антивирусного по, начинал все заражать. По возможности просто хотел бы собрать советы, что бы при появлении возможности выключения сервера можно было не начинать с нуля, а быть несколько подготовленным.

В частности интересует способ поиска вот таких вот скрытых вирусов.

Изменено пользователем b7rracuda
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

@b7rracuda, вам никто пока не говорил, чтобы ставили антивирус (хотя после удаления вируса его поставить всё-таки стоит). А вот чтобы

 

собрать советы

надо сначала увидеть логи, на кофейной гуще не гадаем. А как собрать нужные логи как раз в правилах раздела написано.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Владимир А.К.
      Не могу вылечить вирусы HEUR:Trojan.Multi.GenBadur.genw, HEUR:Trojan.JS.Trolec.gen и HEUR:Trojan.Script.Agent.gen
      Автор Владимир А.К.
      Здравствуйте! Пожалуйста, помогите с удалением вируса.
      После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел).
      Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов).

      CollectionLog-2025.07.26-19.55.zip
    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
×
×
  • Создать...