Постоянно вылезающий вирус на сервере

[Saiberex]

Доброго времени суток.

На компьютере Касперский стал ругаться на вирус NetworkDistribution

Удаляет, перезагружает, ругается снова.. И так до бесконечности может развлекаться.

При этом постоянно появляется папкка C:\Windows\NetworkDistribution которая после зачистке восстанавливается.

 

Создается (обязательно) после перезагрузки.

Создается сама по себе через какое-то время, даже если с компом ничего не делать.

Это не зависит от наличия или отсутствия сети.

Так же не зависит от каких-нибудь браузеров.

 

Сервер, библиотечный. Перезагружать не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше)

 

Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622

 

 

Если скажете как его отключить буду очень благодарен

 

P.S. Аналогичный вирус гоняли тут

CollectionLog-2019.03.30-12.10.zip

Изменено 30 марта, 2019 пользователем Saiberex

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\RemoteUPnPHost.dll','');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFile('C:\Windows\system32\RemoteUPnPHost.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteUPnPHost\Parameters','ServiceDll','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[mitrich08]

Строгое предупреждение от модератора thyrex

У вас нет прав оказания помощи в данном разделе

[Saiberex]

Готово

И можно чуть поподорбнее инструкции к действию, а то у Вас столько программ, что теряешься...

CollectionLog-2019.03.30-15.10.zip

Изменено 30 марта, 2019 пользователем Saiberex

[thyrex]

Папку C:\Windows\NetworkDistribution удалите вручную.

 

Проблема решена?

[Saiberex]

Да, походу проблема решена.

Спасибо.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Saiberex]

[thyrex]

Ну тогда в обязательном порядке установите ВСЕ доступные обновления для сервера.

 

На этом закончим.

[Saiberex]

Ок принято.

До встречи, очень скорой )

[Sandor]

Уязвимости можете так проверить:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Saiberex]

ОК сделано. Вирусов больше нет, спасибо.