• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.

Кирилл

Команда форума
Администратор
Сообщения
14,204
Реакции
6,235
Баллы
1,003
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
У меня домен-контроллер, там нет локального админа. Сделал из под доменного, файлы прикладываю.
 

Вложения

  • Addition.txt
    40.2 KB · Просмотры: 1
  • CollectionLog-2018.01.03-10.43.zip
    114.4 KB · Просмотры: 1
  • FRST.txt
    21.8 KB · Просмотры: 2
  • Shortcut.txt
    728.7 KB · Просмотры: 0

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Слушайте, я вроде нашел... Эта редиска подменила мне файл "osk.exe". Вместо экранной клавиатуры запускается командная строка. Соответственно при входе он нажимает кнопку "Специальные возможности", потом "экранную клавиатуру" и получает доступ к командной строке с правами локальной службы. Но я же делал nfc /scannow. Почему он не исправил этот файл?
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Сам отвечу на свой вопрос. Потому что в windows\winsxs также лежит левый osk.exe
 
  • Like
Реакции: akok

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
Сделал из под доменного, файлы прикладываю.
Вы майнера то удалили, а потом лог автологера сделали...:Smile:
Эта редиска подменила мне файл "osk.exe".
Запакуйте этот файл в архив с паролем virus и пришлите на quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему в письме.
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Нет там вируса. Зачем применять вирус там, где это не нужно делать. Злоумышленник пользуется только легальным софтом. osk.exe оказался вполне себе экранной клавиатурой, но при его запуске запускается cmd.exe. Копаю дальше. Как же здорово, что знаешь, куда копать.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
Судя по логам у вас там вообще много чего нашаманили,
Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).
это только одна запчасть. Ещё там и C:\WINDOWS\ADFS\CTFMON.EXE
тоже запчасть от Hide Folders 2009. Только вручную не советую это лечить, потом хвосты трудно будет выковыривать. Увы, скрипт не могу написать, у меня после обновления этот форум ужасно глючит и постоянно зависает.
И раз Eset спокойно позволяет это делать я бы на вашем месте заменил его на нормальный антивирус, к примеру на касперского.
 

akok

Команда форума
Администратор
Сообщения
20,023
Реакции
13,684
Баллы
2,203
Теперь можно выдохнуть и разобраться с остальными серверами
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Уважаемый akok, не увидел начала 26 сообщения. Глаза уже не видят. А так бы сэкономил себе несколько часов времени. В общем в реестре по поиску "osk" нашел записи, ссылающиеся на cmd.exe. Удалил. экранная клавиатура заработала.
 

Кирилл

Команда форума
Администратор
Сообщения
14,204
Реакции
6,235
Баллы
1,003
Что то не сходится.
Откройте свойства ярлыка по пути:
Код:
C:\Users\itmaster_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hide Folders
Покажите куда он ссылается .

По Hide Folders - да, он много где встречается у вас.
Файл %SYSTEMROOT%\Logs\CBS\CBS.log тоже прикрепите.
Комодо запускали без последствий? Лог сохранился?
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
"C:\Program Files\Hide Folders\hf5.exe". Это я сам ставил, думал найдет скрытые папки. А потом руками удалил.
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Комодо не запускал. Возможно, он стоял там раньше.
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Посмотрите, пожалуйста лог sfc. Он находит несоответствия, но исправлять не хочет. Не могу понять почему так.
 

Вложения

  • CBS.log
    4.3 MB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,204
Реакции
6,235
Баллы
1,003
Вот почему, когда пользователя спрашиваешь и веришь на слово - то зря ?
Спрашивал же - были нарушения целостности? Нет!
Есть.
Ваш злопыхатель сделал еще закладки для обхода и сброса пароля.

C:\windows\System32\Utilman.exe и в хранилище тоже.
Это первое, что в глаза бросилось - исправляйте.

Остальное позже досмотрю и отвечу, сегодня.
 

babka40000

Активный пользователь
Сообщения
44
Реакции
8
Баллы
48
Уважаемый Кирилл, в тот раз такого небыло. Это он, видимо, во время вчерашней атаки засунул. Все время что-то новенькое придумывает. А начиналось все с банального майнера.
 

Кирилл

Команда форума
Администратор
Сообщения
14,204
Реакции
6,235
Баллы
1,003
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFile('C:\windows\System32\Utilman.exe', '');
end.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

В хроме безымянные расширения с легальным ID - ваше, просматривали ?

Запустите командную строку от имени Администратора и введите команду:
( Интернет должен быть подключен)
Dism.exe /Online /Cleanup-Image /Restorehealth

Будет произведена процедура восстановления хранилища компонентов.
После этого повторное сканирование sfc /scannow позволит произвести замену и восстановление файлов, которые система посчитает поврежденными.

Hidden Folder помочь вычистить?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу