Решена Помощь в настройке АСБ "Тобол"

Статус
В этой теме нельзя размещать новые ответы.

Chezy

Участник
Сообщения
72
Реакции
1
Здравствуйте. Имеется 2 сервера на Windows Server 2003 с установленным СУДОС, взаимосвязанные между собой. С 2009 года все работало стабильно, если что то и случалось, то восстанавливалось с готового образа. Неделю назад на всех рабочих местах начало выбивать (перезагружаться) программу "СУДОС", при этом на сервере все работает стабильно. Поддержка пытается помочь, но пока тоже бессильна. Нашли вирус на сервере, который перемещал скрывал и перемещал папки, как раз в базе этого судоса. Вылечили, вылечили рабочие места, восстанавливали базу, ничего не помогло. Делали восстановление рабочего образа от ноября 2020 года, так же ничего не изменилось. Собрал и прикрепил логи, в одном архиве логи обоих серверов srv1,2, в другом логи трех рабочих мест. Прошу помощи, проблема длится уже 2 недели.
 

Вложения

  • Рабочие места.rar
    172.6 KB · Просмотры: 25
  • Сервер.rar
    118.4 KB · Просмотры: 24
Пропустили тему. Есть с чем поработать. Начнем с машины караул, для остальных нужно создать отдельные темы, чтоб не путаться.

На этой машине проверка не проводилась? Сразу бросается в глаза бекдор/эксплойт и майнер.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\networkdistribution\svchost.exe', '');
 QuarantineFile('c:\windows\system32\dllhostex.exe', '');
 DeleteFile('c:\windows\networkdistribution\svchost.exe', '32');
 DeleteFile('c:\windows\system32\dllhostex.exe', '32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Конечно лечить winXP это закрывать решето пальцами.
 
По остальным машинам создайте отдельные темы, так быстрее будет
 
Отправил файл quarantine.zip с помощью формы. Так же прикрепляю логи после выполнения скриптов.
 

Вложения

  • CollectionLog-2021.08.09-09.46.zip
    36.1 KB · Просмотры: 18
Последнее редактирование модератором:
пока без изменений, все так же выбивает
 
Последнее редактирование модератором:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
И не стоит цитировать большие сообщения, сложнее в теме ориентироваться.
 
TightVNC Server - ваш софт?
 
@akok, да, но он установлен после выхода из строя. И когда собирал логи, завершал его. Через него поддержка работает.
 
Общее замечания по созданным темам. На рабочих ПК работает майнер, по серверам на первый взгляд чисто, но как разберемся с майнером нужно будет еще раз посмотреть логи.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\dllhostex.exe');
 QuarantineFile('c:\windows\system32\dllhostex.exe','');
 QuarantineFile('c:\windows\system32\remotessdpevent.dll','');
 DeleteFile('c:\windows\system32\dllhostex.exe','32');
 DeleteFile('c:\windows\system32\remotessdpevent.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteSSDPEvent\Parameters','ServiceDll','x32');
   BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

А вот после готовьте логи FRST
 
отправил quarantine.zip с помощью формы. Имя: 2021.08.10_quarantine_882d51904011f110aaec25994918b0bb.7z
Так же прикрепил логи FRST в архиве karaul;
После выполнения второго скрипта, ПК перезагрузился, прикрепил на всякий случай файлы ошибки .dmp и .xml в архиве
 

Вложения

  • karaul.rar
    15.5 KB · Просмотры: 18
  • ошибка перезагрузки.rar
    21.3 KB · Просмотры: 16
Ошибку перезагрузки выдала AVZ при попытке принудительно завершить процесс майнера.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    VirusTotal:C:\Documents and Settings\начкар\Local Settings\Temp\2d257a78e46a.sys
    2021-08-09 17:21 - 2021-08-10 08:22 - 000000000 ____D C:\WINDOWS\NetworkDistribution
    S2 RemoteSSDPEvent; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Windows Component Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    NETSVC: RemoteSSDPEvent -> no filepath.
    NETSVC: RemoteSSDPEvent -> no filepath.
    NETSVC: RemoteSSDPEvent -> no filepath.
    StandardProfile\AuthorizedApplications: [C:\WINDOWS\4262326277\winnymj.exe] => Enabled:Microsoft Windows Driver
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  • Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Открытые порты, это так настроено?
DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:mad:xpsp2res.dll,-22004
DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:mad:xpsp2res.dll,-22005
DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:mad:xpsp2res.dll,-22001
DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:mad:xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:mad:xpsp2res.dll,-22004
StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:mad:xpsp2res.dll,-22005
StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:mad:xpsp2res.dll,-22001
StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:mad:xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [1900:UDP] => :LocalSubNet:Disabled:mad:xpsp2res.dll,-22007
StandardProfile\GloballyOpenPorts: [2869:TCP] => :LocalSubNet:Disabled:mad:xpsp2res.dll,-22008
 
Последнее редактирование:
прикрепил
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 16
Кстати, благодаря вам, за ночь не разу не выбило впервые за 2 недели. Пока продолжаю действовать по рекомендациям, и мониторим обстановку
 
С помощью редактора реестра зайдите в куст HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, скопируйте значение параметра netsvcs и процитируйте его в своем следующем сообщении.
 
С помощью редактора реестра зайдите в куст HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, скопируйте значение параметра netsvcs и процитируйте его в своем следующем сообщении.
 

Вложения

  • реестр.txt
    558 байт · Просмотры: 19
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу