маскировка процессов на сервере - Страница 2

silverking · 07.06.2013, 17:48

Vvvyg · 07.06.2013, 22:00

Гмер ничего не увидел, попробуем через AVZ.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
ClearQuarantineEx(True);
 QuarantineFile('C:\Program Files\Ruweeq uzkce\Mhksxjo.exe','');
 QuarantineFile('C:\Program Files\Rumheu qsqmv\Luguxmc.exe','');
 DeleteFile('C:\Program Files\Rumheu qsqmv\Luguxmc.exe');
 DeleteFile('C:\Program Files\Ruweeq uzkce\Mhksxjo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл на vvvyg@ya.ru.

silverking · 07.06.2013, 22:40

Извиняюсь что поздно, ждал когда все сотрудники уйдут из офиса. Карантин выслал.

Vvvyg · 07.06.2013, 22:42

Карантин пуст. Что с проблемой?

silverking · 07.06.2013, 23:13

проблема будет видна в 00:13 если сервер перегрузится. Он четко только в это время уходит в ребут. Кстати выложу лог cureit, надо было сразу это сделать не подумал.

http://rghost.ru/46588377

Vvvyg · 07.06.2013, 23:17

Сделайте повторно лог AVZ, посмотрим, убились ли эти сервисы странные.

silverking · 07.06.2013, 23:20

сервисы странные я в ручную в службах отключил, сраpу же после того как вебером прошелся. А после перезагрузки появляется в корне С и \system32 вот это C:\shserver.exe

Vvvyg · 07.06.2013, 23:22

Упакуйте его в архив с паролем virus и отправьте мне.

silverking · 08.06.2013, 01:34

хорошо, ждемс тогда 0:13 по Москве.

---------- Добавлено в 00:34 ---------- Предыдущее сообщение было написано Вчера в 22:27 ----------

нет файла больше, но сервер перегрузился...

Angel-iz-Ada · 08.06.2013, 01:36

Выложите лог журнала оповещений за период когда система перезагрузилась
http://www.nirsoft.net/utils/my_event_viewer.html

Vvvyg · 08.06.2013, 01:39

silverking, есть подозрение, что сервер под удалённым управлением, и не только Вашим...

silverking · 10.06.2013, 12:38

Вот лог за период с 00:00 по 00:20 за 10.06.2013

http://rghost.ru/private/46644257/b6...4cf093c339619e

Очень странным показалось фигурирование USER32 в событии перезагрузки в 00:13

Angel-iz-Ada · 10.06.2013, 12:44

по удаленке подключается пользователь sa
знаком вам?

Цитата:

Event Description : Ошибка входа пользователя "sa". Reason: Password did not match that for the login provided. [CLIENT: 199.193.64.97]

silverking · 10.06.2013, 12:50

из этого меня смущает только IP америкоский, а так это пользователь базы SQL

---------- Добавлено в 11:50 ---------- Предыдущее сообщение было написано в 11:49 ----------

видимо пытаются подобрать пароль к базе

Angel-iz-Ada · 10.06.2013, 12:50

пользователей у вас очень много? реально на всех пароли сменить?
возможно сервером пользуются по удаленке используя его как "дедик"

07.06.2013, 17:48	#16 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	лог Gmer http://rghost.ru/46579847

07.06.2013, 22:00	#17 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Гмер ничего не увидел, попробуем через AVZ. Выполните скрипт в AVZ: Код: begin SearchRootkit(true, true); ClearQuarantineEx(True); QuarantineFile('C:\Program Files\Ruweeq uzkce\Mhksxjo.exe',''); QuarantineFile('C:\Program Files\Rumheu qsqmv\Luguxmc.exe',''); DeleteFile('C:\Program Files\Rumheu qsqmv\Luguxmc.exe'); DeleteFile('C:\Program Files\Ruweeq uzkce\Mhksxjo.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните в AVZ скрипт: Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл на vvvyg@ya.ru.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус на сервере. Помогите.	sergeyms	Безопасность	6	11.06.2012 20:28
Кто на каком сервере Wow играет?	loneline	Игры	0	26.07.2011 18:37
Маскировка под процесс svchost.exe	neigrok	Windows XP	22	27.05.2011 21:46
На сервере вирусы.	mixa1ich	Безопасность	5	01.03.2011 21:36
Маскировка Windows 2000 под XP	Мартин	Windows XP	0	07.12.2009 21:30

07.06.2013, 22:40	#18 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	Извиняюсь что поздно, ждал когда все сотрудники уйдут из офиса. Карантин выслал.

07.06.2013, 22:42	#19 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Карантин пуст. Что с проблемой?

07.06.2013, 23:13	#20 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	проблема будет видна в 00:13 если сервер перегрузится. Он четко только в это время уходит в ребут. Кстати выложу лог cureit, надо было сразу это сделать не подумал. http://rghost.ru/46588377

07.06.2013, 23:17	#21 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Сделайте повторно лог AVZ, посмотрим, убились ли эти сервисы странные.

07.06.2013, 23:20	#22 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	сервисы странные я в ручную в службах отключил, сраpу же после того как вебером прошелся. А после перезагрузки появляется в корне С и \system32 вот это C:\shserver.exe

07.06.2013, 23:22	#23 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Упакуйте его в архив с паролем virus и отправьте мне.

08.06.2013, 01:34	#24 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	хорошо, ждемс тогда 0:13 по Москве. ---------- Добавлено в 00:34 ---------- Предыдущее сообщение было написано Вчера в 22:27 ---------- нет файла больше, но сервер перегрузился...

08.06.2013, 01:36	#25 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	Выложите лог журнала оповещений за период когда система перезагрузилась http://www.nirsoft.net/utils/my_event_viewer.html

08.06.2013, 01:39	#26 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	silverking, есть подозрение, что сервер под удалённым управлением, и не только Вашим...

10.06.2013, 12:38	#27 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	Вот лог за период с 00:00 по 00:20 за 10.06.2013 http://rghost.ru/private/46644257/b6...4cf093c339619e Очень странным показалось фигурирование USER32 в событии перезагрузки в 00:13

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

10.06.2013, 12:50	#29 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	из этого меня смущает только IP америкоский, а так это пользователь базы SQL ---------- Добавлено в 11:50 ---------- Предыдущее сообщение было написано в 11:49 ---------- видимо пытаются подобрать пароль к базе

10.06.2013, 12:50	#30 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	пользователей у вас очень много? реально на всех пароли сменить? возможно сервером пользуются по удаленке используя его как "дедик"