Перейти к содержанию
Правила раздела

Вирусная активность на сервере

Maugli_kzn

От Maugli_kzn
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Maugli_kzn Новичок

Maugli_kzn

Опубликовано
Опубликовано

Добрый день!

На сервере win 2008 r2 стоит антивирус касперского, но при этом замечаю некое странное поведение - подозрительно долго открываются сетевые ресурсы. (Ранее он был заражен вирусом, вроде вылечил, но возможно остались следы)

Не смогли бы посодействовать в избавлении от этой заразы? 

файл лога AutoLogger прикладываю

Заранее спасибо

CollectionLog-2019.10.02-08.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Maugli_kzn, это другой компьютер?

Файлы

C:\Users\din\Desktop\Miner18\Gogo.bat

c:\windows\system32\wbem\123.bat

вам известны?

 

Следы Dr.Web очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer_disabled::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
MSCONFIG\startupreg: BGClients => cmd /c start /min c:\windows\system32\wbem\123.bat
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

 

 

сделал. лог прикладываю. при включении какая-та служба пытается запустить 123.bat из папки c:\windows\system32\wbem\123.bat но не находит файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat
Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat

сделал. Меня еще смущают в отчете программы HijackThis ссылки на dns 8.8.8.8

Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

Смотрите настройки сетевого адаптера, если считаете это неправильным.

в настройках сетевой карты нету этого dns. Там только dns контроллера домена указан.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Анди25
      Замена сертификата на сервере ksc
      От Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • foroven
      Шифровальщик ooo4ps зашифровал сервер.
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • Valeriy_Chirchik
      Зашифровали файлы на сервере *.red
      От Valeriy_Chirchik
      В понедельник, 17.02.2025, все файлы на сервере зашифрованы.
      Прилагаю файлы сканирования и требование оплаты дешифрования...
      Очень надеюсь на Вашу помощь!!!
      Спасибо!!!Virus.rarFRST.txtAddition.txt
    • luzifi
      шифровальщик инок на сервере
      От luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
    • Андрей.а.а
      Виртуальный сервер активация клиентов.
      От Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
×
×
  • Создать...