serga612 0 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Добрый день. На серверах появляются в запущенные процессы wahiver.exe Webisida.Browser SecureSurf.Browser Кроме этого 2 процесса запускаются как службы. KVRT это всё удаляет (а ещё быстрее я руками удаляю всю папку C:\Windows\Inf\NETLIBRARIESTIP), но оно возвращается каждый раз - т.е. источник всей этой заразы у меня найти не вышло. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Порядок оформления запроса о помощи Логи прикрепите к следующему сообщению в данной теме. Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Cпасибо, сейчас сделаю. Я читал правила и прикреплял лог, видимо что-то пошло не так, а я этого не заметил. Кстати говоря, прочитав правила, я сначала запустил KVRT, а после того, как тот отработал - логгер. Может имеет смысл сначала запустить логгер, до того, как вирусы будут удалены с сервера? CollectionLog-2019.03.25-13.55.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteService('werlsfks'); DeleteService('spoolsrvrs'); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe',''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe',''); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Результат загрузки Файл сохранён как 190325_133853_quarantine_5c98d9ed1cfc2.zip Размер файла 8837 MD5 30bc46f472ca5fa8ea41e6f8443c7d13 Файл закачан, спасибо! Это был ответ по ссылке. По поводу сборщика логов - странный момент: Первый раз он у меня запустился и отработал нормально. Теперь всё время выдаёт сообщение: Вы запустили сборщик логов из терминальной сессии - Пожалуйста, запустите сборщик логов из консоли. Причём даже при запуске из консоли Hyper-V так происходит. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Сделано. Desktop.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Задания Планировщика MonitorProcesses (связана с запуском C:\Temp\MonitProcess.ps1) MoveItemsConverstionHistory (связана с запуском C:\Temp\moveconversation.ps1) Вам известны? 1. Выделите следующий код: Start:: CreateRestorePoint: File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe File: C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat File: C:\Windows\Fonts\web\winlogon.exe File: C:\Users\adm.a.serga\svchost.exe S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X] S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X] S3 cpuz139; \??\C:\Users\ADMAPR~1.ITK\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] <==== ATTENTION C:\Windows\Fonts\web\Webisida.Browser.exe C:\Windows\Fonts\web\taskhost.exe C:\Windows\Fonts\web\winlogon.exe C:\Windows\Fonts\web\gecko\securesurf.browser.client.exe C:\Windows\Inf\NETLIBRARIESTIP End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Задание планировщика C:\Temp\MonitProcess.ps1 мне известно C:\Temp\moveconversation.ps1 неи ( и сегодня нет уже людей на работе, которые могли бы прояснить), но я просмотрел текст скрипта и думаю, что знаю, кто его написал и вроде как это не должно запускать вирусы. Инструкцию выполнил. FARbar берёт данные из буфера обмена, или в ней пропущен пункт "вставить"? Лог прилагаю. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 FARbar берёт данные из буфера обменав предложенной мной инструкции именно так. Содержимое C:\Users\adm.a.serga\AppData\Local\Temp\seth.bat процитируйте. C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля Сделайте лог МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 Содержимое файла seth.bat: echo copy seth.exe "%windir%\system32" set d="%windir%\system32\seth.exe" reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "seth.exe" /f echo.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]>"%tmp%"\reg.txt && regini "%tmp%"\reg.txt && del "%tmp%"\reg.txt @attrib +s +h %d% @echo Y| cacls %d% /t /g SYSTEM:r @echo S| cacls %d% /t /g SYSTEM:r @echo J| cacls %d% /t /g SYSTEM:r @echo O| cacls %d% /t /g SYSTEM:r @echo E| cacls %d% /t /g SYSTEM:r По вирусинфо: Результат загрузки Файл сохранён как 190326_080804_seth_5c99dde4917e5.zip Размер файла 23254 MD5 fcec401dee584b941eecaef8ecffa33e Файл закачан, спасибо! И лог во вложении. mbam05.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2019 Share Опубликовано 26 марта, 2019 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 Что с проблемой? В данный момент на этом сервере она не воспроизводится. Т.к. серверов несколько (и время от времени оно возникает на них снова) то вариант лечения такой: KVRT + MBAM + контролировать ключи реестра из файла seth.bat? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2019 Share Опубликовано 26 марта, 2019 seth.bat:удалите. C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо. Цитата Ссылка на сообщение Поделиться на другие сайты
serga612 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 seth.bat:удалите. C:\Users\adm.a.serga\AppData\Local\Temp\seth.exe повтроно проверьте на virustotal.com, даже если будет показывать, что файл проверялся в начале февраля результат в виде ссылки не увидел, а вместо этого Вы зачем-то загрузили файл на Вирусинфо. Промахнулся. https://www.virustotal.com/gui/file/190ce0a2fc65ec52860899c5597ddbff81d41d0fd673874b9ea0d5fa986e7378/detection Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.