Перейти к содержанию

Вирусная активность на сервере


Рекомендуемые сообщения

Добрый день!

На сервере win 2008 r2 стоит антивирус касперского, но при этом замечаю некое странное поведение - подозрительно долго открываются сетевые ресурсы. (Ранее он был заражен вирусом, вроде вылечил, но возможно остались следы)

Не смогли бы посодействовать в избавлении от этой заразы? 

файл лога AutoLogger прикладываю

Заранее спасибо

CollectionLog-2019.10.02-08.30.zip

Ссылка на сообщение
Поделиться на другие сайты

@Maugli_kzn, это другой компьютер?

Файлы

C:\Users\din\Desktop\Miner18\Gogo.bat

c:\windows\system32\wbem\123.bat

вам известны?

 

Следы Dr.Web очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
    WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ATTENTION
    WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer_disabled::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    MSCONFIG\startupreg: BGClients => cmd /c start /min c:\windows\system32\wbem\123.bat
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

 

сделал. лог прикладываю. при включении какая-та служба пытается запустить 123.bat из папки c:\windows\system32\wbem\123.bat но не находит файл

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat
Ссылка на сообщение
Поделиться на другие сайты

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat

сделал. Меня еще смущают в отчете программы HijackThis ссылки на dns 8.8.8.8

Ссылка на сообщение
Поделиться на другие сайты

Смотрите настройки сетевого адаптера, если считаете это неправильным.

в настройках сетевой карты нету этого dns. Там только dns контроллера домена указан.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...