Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.

Кирилл

Команда форума
Администратор
Сообщения
13,750
Реакции
6,133
Баллы
913
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Слушайте, я вроде нашел... Эта редиска подменила мне файл "osk.exe". Вместо экранной клавиатуры запускается командная строка. Соответственно при входе он нажимает кнопку "Специальные возможности", потом "экранную клавиатуру" и получает доступ к командной строке с правами локальной службы. Но я же делал nfc /scannow. Почему он не исправил этот файл?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Сам отвечу на свой вопрос. Потому что в windows\winsxs также лежит левый osk.exe
 
  • Like
Реакции: akok

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Сделал из под доменного, файлы прикладываю.
Вы майнера то удалили, а потом лог автологера сделали...:Smile:
Эта редиска подменила мне файл "osk.exe".
Запакуйте этот файл в архив с паролем virus и пришлите на quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему в письме.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Нет там вируса. Зачем применять вирус там, где это не нужно делать. Злоумышленник пользуется только легальным софтом. osk.exe оказался вполне себе экранной клавиатурой, но при его запуске запускается cmd.exe. Копаю дальше. Как же здорово, что знаешь, куда копать.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Судя по логам у вас там вообще много чего нашаманили,
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
это только одна запчасть. Ещё там и C:\WINDOWS\ADFS\CTFMON.EXE
тоже запчасть от Hide Folders 2009. Только вручную не советую это лечить, потом хвосты трудно будет выковыривать. Увы, скрипт не могу написать, у меня после обновления этот форум ужасно глючит и постоянно зависает.
И раз Eset спокойно позволяет это делать я бы на вашем месте заменил его на нормальный антивирус, к примеру на касперского.
 

akok

Команда форума
Администратор
Сообщения
17,282
Реакции
13,296
Баллы
2,203
Теперь можно выдохнуть и разобраться с остальными серверами
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Уважаемый akok, не увидел начала 26 сообщения. Глаза уже не видят. А так бы сэкономил себе несколько часов времени. В общем в реестре по поиску "osk" нашел записи, ссылающиеся на cmd.exe. Удалил. экранная клавиатура заработала.
 

Кирилл

Команда форума
Администратор
Сообщения
13,750
Реакции
6,133
Баллы
913
Что то не сходится.
Откройте свойства ярлыка по пути:
Код:
C:\Users\itmaster_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hide Folders
Покажите куда он ссылается .

По Hide Folders - да, он много где встречается у вас.
Файл %SYSTEMROOT%\Logs\CBS\CBS.log тоже прикрепите.
Комодо запускали без последствий? Лог сохранился?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
"C:\Program Files\Hide Folders\hf5.exe". Это я сам ставил, думал найдет скрытые папки. А потом руками удалил.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Комодо не запускал. Возможно, он стоял там раньше.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Посмотрите, пожалуйста лог sfc. Он находит несоответствия, но исправлять не хочет. Не могу понять почему так.
 

Вложения

  • 4.3 MB Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
13,750
Реакции
6,133
Баллы
913
Вот почему, когда пользователя спрашиваешь и веришь на слово - то зря ?
Спрашивал же - были нарушения целостности? Нет!
Есть.
Ваш злопыхатель сделал еще закладки для обхода и сброса пароля.

C:\windows\System32\Utilman.exe и в хранилище тоже.
Это первое, что в глаза бросилось - исправляйте.

Остальное позже досмотрю и отвечу, сегодня.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Уважаемый Кирилл, в тот раз такого небыло. Это он, видимо, во время вчерашней атаки засунул. Все время что-то новенькое придумывает. А начиналось все с банального майнера.
 

Кирилл

Команда форума
Администратор
Сообщения
13,750
Реакции
6,133
Баллы
913
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFile('C:\windows\System32\Utilman.exe', '');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

В хроме безымянные расширения с легальным ID - ваше, просматривали ?

Запустите командную строку от имени Администратора и введите команду:
( Интернет должен быть подключен)
Dism.exe /Online /Cleanup-Image /Restorehealth

Будет произведена процедура восстановления хранилища компонентов.
После этого повторное сканирование sfc /scannow позволит произвести замену и восстановление файлов, которые система посчитает поврежденными.

Hidden Folder помочь вычистить?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу