маскировка процессов на сервере - Страница 4

silverking · 29.07.2013, 13:48

ссылки с вирустотал

https://www.virustotal.com/ru/file/7...is/1375087241/
https://www.virustotal.com/ru/file/3...is/1375087522/

Angel-iz-Ada · 29.07.2013, 13:52

видимо подцепили где-то за последний месяц эту заразу
выполните скрипт что выше
затем сделайте 2 лога - Мбам и ADWcleaner
http://pchelpforum.ru/showpost.php?p=206554&postcount=6
http://forum.esetnod32.ru/forum9/topic7084/

silverking · 29.07.2013, 18:02

зоо

http://rghost.ru/47745521

---------- Добавлено в 17:02 ---------- Предыдущее сообщение было написано в 13:21 ----------

логи adwcleaner и mbam
http://rghost.ru/47750820

Angel-iz-Ada · 29.07.2013, 18:06

ух сколько живности у вас
эта служба вам знакома?
HKLM\System\CurrentControlSet\Services\netscvre\Im agePath
с этим файлом - C:\WINDOWS\system32\hexsnss.exe

Радмин ваш? Если да, то удаляйте все кроме него.
После этого найденное в ADW удалите и перезагрузитесь. После перезагрузки новый лог Мбам сделайте.

silverking · 29.07.2013, 18:19

тут проблема как раз в том, что если я даже все удалю, после перезагрузки, причем в одно и тоже время в 0,13 по москве, это все восстановится.

да радмин мой. службу эту не знаю, не моя.

Angel-iz-Ada · 29.07.2013, 18:20

удаляйте. делайте новый лог Мбам, а потом новый образ автозапуска в Безопасном режиме
кстати, обновления системы все ставите?

silverking · 29.07.2013, 23:27

лог mbam http://rghost.ru/private/47758253/fb...47f351fcf3ff58

а в безопасном режиме сделать не удастся, завтра с утра выложу.

да обновления ставлю обязательно.

Angel-iz-Ada · 30.07.2013, 01:24

через радмин кто нибудь еще входить не может? пароль не меняли?

silverking · 30.07.2013, 12:31

логи mbam и образ авторана http://rghost.ru/47766370
пароль не менял на радмине. Входить может еще один манагер, работает с базой, но заходит под своим логином внутри сети.

Angel-iz-Ada · 30.07.2013, 13:13

да, опять файлы на месте

Код:

C:\RECYCLER\boot0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\hex0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\s0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\xp0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\keylog.dat (Stolen.Data) -> Помещено в карантин и успешно удалено.

во сколько они появляются? доступ в папку RECYCLER не открыт? не можете посмотреть кто производит туда запись?

silverking · 01.08.2013, 10:57

Цитата:

Сообщение от Angel-iz-Ada

да, опять файлы на месте

Код:

C:\RECYCLER\boot0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\hex0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\s0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\RECYCLER\xp0.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\keylog.dat (Stolen.Data) -> Помещено в карантин и успешно удалено.

во сколько они появляются? доступ в папку RECYCLER не открыт? не можете посмотреть кто производит туда запись?

Я затрудняюсь ответить на вопрос о том кто проводит туда запись. А появляются они спустя некоторое время после перезагрузки. Сама перезагрузка всегда происходит в 0,13 по Москве.

silverking · 02.08.2013, 15:45

создатель-владелец Администратор

silverking · 20.09.2013, 11:08

Всем привет, маскировка процессов так осталась, но перезагрузка компа ночью устранена, переустановкой sql. Собственно тему можно закрывать!

Всем спасибо.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус на сервере. Помогите.	sergeyms	Безопасность	6	11.06.2012 20:28
Кто на каком сервере Wow играет?	loneline	Игры	0	26.07.2011 18:37
Маскировка под процесс svchost.exe	neigrok	Windows XP	22	27.05.2011 21:46
На сервере вирусы.	mixa1ich	Безопасность	5	01.03.2011 21:36
Маскировка Windows 2000 под XP	Мартин	Windows XP	0	07.12.2009 21:30

29.07.2013, 13:48	#46 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	ссылки с вирустотал https://www.virustotal.com/ru/file/7...is/1375087241/ https://www.virustotal.com/ru/file/3...is/1375087522/

29.07.2013, 13:52	#47 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	видимо подцепили где-то за последний месяц эту заразу выполните скрипт что выше затем сделайте 2 лога - Мбам и ADWcleaner http://pchelpforum.ru/showpost.php?p=206554&postcount=6 http://forum.esetnod32.ru/forum9/topic7084/

29.07.2013, 18:02	#48 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	зоо http://rghost.ru/47745521 ---------- Добавлено в 17:02 ---------- Предыдущее сообщение было написано в 13:21 ---------- логи adwcleaner и mbam http://rghost.ru/47750820

29.07.2013, 18:06	#49 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	ух сколько живности у вас эта служба вам знакома? HKLM\System\CurrentControlSet\Services\netscvre\Im agePath с этим файлом - C:\WINDOWS\system32\hexsnss.exe Радмин ваш? Если да, то удаляйте все кроме него. После этого найденное в ADW удалите и перезагрузитесь. После перезагрузки новый лог Мбам сделайте.

29.07.2013, 18:19	#50 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	тут проблема как раз в том, что если я даже все удалю, после перезагрузки, причем в одно и тоже время в 0,13 по москве, это все восстановится. да радмин мой. службу эту не знаю, не моя.

29.07.2013, 18:20	#51 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	удаляйте. делайте новый лог Мбам, а потом новый образ автозапуска в Безопасном режиме кстати, обновления системы все ставите?

29.07.2013, 23:27	#52 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	лог mbam http://rghost.ru/private/47758253/fb...47f351fcf3ff58 а в безопасном режиме сделать не удастся, завтра с утра выложу. да обновления ставлю обязательно.

30.07.2013, 01:24	#53 (ссылка)
Angel-iz-Ada Эксперт Регистрация: 06.11.2011 Сообщений: 8,232 Репутация: 864	через радмин кто нибудь еще входить не может? пароль не меняли?

30.07.2013, 12:31	#54 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	логи mbam и образ авторана http://rghost.ru/47766370 пароль не менял на радмине. Входить может еще один манагер, работает с базой, но заходит под своим логином внутри сети.

02.08.2013, 15:45	#57 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	создатель-владелец Администратор

Ads

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

20.09.2013, 11:08	#58 (ссылка)
silverking Новичок Регистрация: 07.06.2013 Сообщений: 28 Репутация: 0	Всем привет, маскировка процессов так осталась, но перезагрузка компа ночью устранена, переустановкой sql. Собственно тему можно закрывать! Всем спасибо.