Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Вирусная активность на сервере

Maugli_kzn

Автор Maugli_kzn
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Maugli_kzn Новичок

Maugli_kzn

Опубликовано
Опубликовано

Добрый день!

На сервере win 2008 r2 стоит антивирус касперского, но при этом замечаю некое странное поведение - подозрительно долго открываются сетевые ресурсы. (Ранее он был заражен вирусом, вроде вылечил, но возможно остались следы)

Не смогли бы посодействовать в избавлении от этой заразы? 

файл лога AutoLogger прикладываю

Заранее спасибо

CollectionLog-2019.10.02-08.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Maugli_kzn, это другой компьютер?

Файлы

C:\Users\din\Desktop\Miner18\Gogo.bat

c:\windows\system32\wbem\123.bat

вам известны?

 

Следы Dr.Web очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer_disabled::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
MSCONFIG\startupreg: BGClients => cmd /c start /min c:\windows\system32\wbem\123.bat
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

 

 

сделал. лог прикладываю. при включении какая-та служба пытается запустить 123.bat из папки c:\windows\system32\wbem\123.bat но не находит файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat
Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

Виноват, это я пропустил, сейчас исправим.

 

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat

сделал. Меня еще смущают в отчете программы HijackThis ссылки на dns 8.8.8.8

Ссылка на комментарий
Поделиться на другие сайты
Maugli_kzn Новичок

Maugli_kzn

Опубликовано
  • Автор
Опубликовано

Смотрите настройки сетевого адаптера, если считаете это неправильным.

в настройках сетевой карты нету этого dns. Там только dns контроллера домена указан.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • velykov
      Активность Trojan.Encoder.37448
      Автор velykov
      Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
       
       
      Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

      #HowToRecover.txt t8TcrwidL6.zip
      Addition.txt FRST.txt
    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

×
×
  • Создать...