Решена Взломали сервер 2008 r2

[shestale]

Да, майнер снова появился

Свежий лог Автологера можете сделать из под локального админа?

 

[Кирилл]

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[babka40000]

У меня домен-контроллер, там нет локального админа. Сделал из под доменного, файлы прикладываю.

 

[babka40000]

Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).

 

[babka40000]

Слушайте, я вроде нашел... Эта редиска подменила мне файл "osk.exe". Вместо экранной клавиатуры запускается командная строка. Соответственно при входе он нажимает кнопку "Специальные возможности", потом "экранную клавиатуру" и получает доступ к командной строке с правами локальной службы. Но я же делал nfc /scannow. Почему он не исправил этот файл?

 

[babka40000]

Сам отвечу на свой вопрос. Потому что в windows\winsxs также лежит левый osk.exe

 

[shestale]

Сделал из под доменного, файлы прикладываю.

Вы майнера то удалили, а потом лог автологера сделали...

Эта редиска подменила мне файл "osk.exe".

Запакуйте этот файл в архив с паролем virus и пришлите на quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему в письме.

 

[babka40000]

Нет там вируса. Зачем применять вирус там, где это не нужно делать. Злоумышленник пользуется только легальным софтом. osk.exe оказался вполне себе экранной клавиатурой, но при его запуске запускается cmd.exe. Копаю дальше. Как же здорово, что знаешь, куда копать.

 

[regist]

Судя по логам у вас там вообще много чего нашаманили,

Если это как то поможет следствию, вчера нашел программу, с помощью которой злоумышленник скрывал папку ESET. Это драйвер "C:\Windows\System32\drivers\FSPFltd.sys. Отключил через реестр запуск драйвера и антивирус заработал. Файл, опять же, просто кусок чьей то легальной программы (есть цифровая подпись).

это только одна запчасть. Ещё там и C:\WINDOWS\ADFS\CTFMON.EXE
тоже запчасть от Hide Folders 2009. Только вручную не советую это лечить, потом хвосты трудно будет выковыривать. Увы, скрипт не могу написать, у меня после обновления этот форум ужасно глючит и постоянно зависает.
И раз Eset спокойно позволяет это делать я бы на вашем месте заменил его на нормальный антивирус, к примеру на касперского.

 

[akok]

Теперь можно выдохнуть и разобраться с остальными серверами

 

[akok]

это только одна запчасть. Ещё там и C:\WINDOWS\ADFS\CTFMON.EXE

Об этом я еще в 26 посте писал

 

[babka40000]

Уважаемый akok, не увидел начала 26 сообщения. Глаза уже не видят. А так бы сэкономил себе несколько часов времени. В общем в реестре по поиску "osk" нашел записи, ссылающиеся на cmd.exe. Удалил. экранная клавиатура заработала.

 

[Кирилл]

Что то не сходится.
Откройте свойства ярлыка по пути:

C:\Users\itmaster_admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hide Folders

Покажите куда он ссылается .

По Hide Folders - да, он много где встречается у вас.
Файл %SYSTEMROOT%\Logs\CBS\CBS.log тоже прикрепите.
Комодо запускали без последствий? Лог сохранился?

 

[babka40000]

"C:\Program Files\Hide Folders\hf5.exe". Это я сам ставил, думал найдет скрытые папки. А потом руками удалил.

 

[babka40000]

Комодо не запускал. Возможно, он стоял там раньше.

 

[babka40000]

Посмотрите, пожалуйста лог sfc. Он находит несоответствия, но исправлять не хочет. Не могу понять почему так.

 

[Кирилл]

Вот почему, когда пользователя спрашиваешь и веришь на слово - то зря ?
Спрашивал же - были нарушения целостности? Нет!
Есть.
Ваш злопыхатель сделал еще закладки для обхода и сброса пароля.

C:\windows\System32\Utilman.exe и в хранилище тоже.
Это первое, что в глаза бросилось - исправляйте.

Остальное позже досмотрю и отвечу, сегодня.

 

[babka40000]

Уважаемый Кирилл, в тот раз такого небыло. Это он, видимо, во время вчерашней атаки засунул. Все время что-то новенькое придумывает. А начиналось все с банального майнера.

 

[babka40000]

Это как раз самый свежий

 

[Кирилл]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
QuarantineFile('C:\windows\System32\Utilman.exe', '');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

В хроме безымянные расширения с легальным ID - ваше, просматривали ?

Запустите командную строку от имени Администратора и введите команду:
( Интернет должен быть подключен)
Dism.exe /Online /Cleanup-Image /Restorehealth

Будет произведена процедура восстановления хранилища компонентов.
После этого повторное сканирование sfc /scannow позволит произвести замену и восстановление файлов, которые система посчитает поврежденными.

Hidden Folder помочь вычистить?