Решена Взломали сервер 2008 r2

  • Автор темы babka40000
  • Дата начала
Статус
В этой теме нельзя размещать новые ответы.
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,004
Баллы
743
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,731
Реакции
6,110
Баллы
913
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
У меня домен-контроллер, там нет локального админа. Сделал из под доменного, файлы прикладываю.
 

Вложения

B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Слушайте, я вроде нашел... Эта редиска подменила мне файл "osk.exe". Вместо экранной клавиатуры запускается командная строка. Соответственно при входе он нажимает кнопку "Специальные возможности", потом "экранную клавиатуру" и получает доступ к командной строке с правами локальной службы. Но я же делал nfc /scannow. Почему он не исправил этот файл?
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,004
Баллы
743
Сделал из под доменного, файлы прикладываю.
Вы майнера то удалили, а потом лог автологера сделали...:Smile:
Эта редиска подменила мне файл "osk.exe".
Запакуйте этот файл в архив с паролем virus и пришлите на quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему в письме.
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Нет там вируса. Зачем применять вирус там, где это не нужно делать. Злоумышленник пользуется только легальным софтом. osk.exe оказался вполне себе экранной клавиатурой, но при его запуске запускается cmd.exe. Копаю дальше. Как же здорово, что знаешь, куда копать.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
Судя по логам у вас там вообще много чего нашаманили,
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
это только одна запчасть. Ещё там и C:\WINDOWS\ADFS\CTFMON.EXE
тоже запчасть от Hide Folders 2009. Только вручную не советую это лечить, потом хвосты трудно будет выковыривать. Увы, скрипт не могу написать, у меня после обновления этот форум ужасно глючит и постоянно зависает.
И раз Eset спокойно позволяет это делать я бы на вашем месте заменил его на нормальный антивирус, к примеру на касперского.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Теперь можно выдохнуть и разобраться с остальными серверами
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Уважаемый akok, не увидел начала 26 сообщения. Глаза уже не видят. А так бы сэкономил себе несколько часов времени. В общем в реестре по поиску "osk" нашел записи, ссылающиеся на cmd.exe. Удалил. экранная клавиатура заработала.
 
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,731
Реакции
6,110
Баллы
913
Что то не сходится.
Откройте свойства ярлыка по пути:
Код:
C:\Users\itmaster_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hide Folders
Покажите куда он ссылается .

По Hide Folders - да, он много где встречается у вас.
Файл %SYSTEMROOT%\Logs\CBS\CBS.log тоже прикрепите.
Комодо запускали без последствий? Лог сохранился?
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
"C:\Program Files\Hide Folders\hf5.exe". Это я сам ставил, думал найдет скрытые папки. А потом руками удалил.
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Комодо не запускал. Возможно, он стоял там раньше.
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Посмотрите, пожалуйста лог sfc. Он находит несоответствия, но исправлять не хочет. Не могу понять почему так.
 

Вложения

  • 4.3 MB Просмотры: 2
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,731
Реакции
6,110
Баллы
913
Вот почему, когда пользователя спрашиваешь и веришь на слово - то зря ?
Спрашивал же - были нарушения целостности? Нет!
Есть.
Ваш злопыхатель сделал еще закладки для обхода и сброса пароля.

C:\windows\System32\Utilman.exe и в хранилище тоже.
Это первое, что в глаза бросилось - исправляйте.

Остальное позже досмотрю и отвечу, сегодня.
 
B

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Уважаемый Кирилл, в тот раз такого небыло. Это он, видимо, во время вчерашней атаки засунул. Все время что-то новенькое придумывает. А начиналось все с банального майнера.
 
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,731
Реакции
6,110
Баллы
913
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFile('C:\windows\System32\Utilman.exe', '');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

В хроме безымянные расширения с легальным ID - ваше, просматривали ?

Запустите командную строку от имени Администратора и введите команду:
( Интернет должен быть подключен)
Dism.exe /Online /Cleanup-Image /Restorehealth

Будет произведена процедура восстановления хранилища компонентов.
После этого повторное сканирование sfc /scannow позволит произвести замену и восстановление файлов, которые система посчитает поврежденными.

Hidden Folder помочь вычистить?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу