Доброго времени, прошу помощи уважаемые коллеги. На работе возникла нештатная ситуация. На сервер терминалов, он же файловый сервер проникла какая-то зараза. Первое что появилось это файлы в корневых папках на диске С, с именем "ПРОЧИТАТЬ!!!". Внутри содержался текст следующего содержания: "Для получения доступа к файлам пишите нa thorntitini1979@danwin1210.me". Ничего особо важного на первый взгляд не пропало. Вирус уничтожил программу 1С, но базы остались нетронутые, восстановили довольно быстро. На компьютере был установлен Антивирус Касперского, базы обновлялись. Я прогнал сервер утилитой KVRT и avz4, в памяти нашелся троян и был удален. Но после этого, либо так совпало, компьютер стал работать очень нестабильно. 2-3 раза в сутки вылетает "синий экран", причем бывают разные коды ошибок. Не знаю что делать дальше, переустанавливать конечно крайний вариант, хотелось бы хотя бы на время вернуть стабильность серверу. Планируем обновить старую ОС на 2012 сервер, но пока надо работать. Подскажите что можно сделать. Расшифровки из малого дампа памяти прилагаю.

frost357, обновление KB4012598 (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) установлено?
Расшифровки из малого дампа памяти прилагаю.
Нужны не расшифровки, а DMP-файлы.

Нужны не расшифровки, а DMP-файлы. »
Выкладываю

frost357, в стеке присутствует:
srv!SrvFreeNonPagedPool+0x3f
srv!SrvOs2FeaListToNt+0x1e5
srv!SrvSmbOpen2+0xdf
srv!ExecuteTransaction+0x15e
srv!SrvSmbTransactionSecondary+0x4c5
srv!SrvProcessSmb+0x19f
srv!SrvRestartReceive+0xca
srv!WorkerThread+0x144

и версия srv.sys старая - ваш сервер подвергается сетевым атакам через широко известную уязвимость EternalBlue - установите обновление KB4012598 (ссылка в предыдущем сообщении).

Наверное, сервер ещё и в Интернет смотрит внешним интерфейсом с "белым" IP-адресом, включенной "службой доступа к файлам и принтерам" на этом интерфейсе, без брандмауэра/файрвола?

и версия srv.sys старая - ваш сервер подвергается сетевым атакам через широко известную уязвимость EternalBlue - установите обновление KB4012598 (ссылка в предыдущем сообщении).
Наверное, сервер ещё и в Интернет смотрит внешним интерфейсом с "белым" IP-адресом, включенной "службой доступа к файлам и принтерам" на этом интерфейсе, без брандмауэра/файрвола? »
Похоже на то. Вирусная атака как раз совпала с подключением белого ip, до этого был АДСЛ модем, как только перешли на оптику началась такая жесть.

в стеке присутствует: »
А какие мои дальнейшие действия? Заплатку KB4012598 скачал и накатил.

с подключением белого ip
Ну хотя бы "Службу доступа к файлам и принтерам" надо было отключить в свойствах внешней сети (просто снять флажок, не удаляя, потому как она нужна для внутренней сети).
Это в дополнение (полезная мера безопасности).

EternalBlue уже три месяца зловреды используют в хвост и в гриву, несколько эпидемий было... Но "пока гром не грянет, мужик не перекрестится", да? :)
А какие мои дальнейшие действия? Заплатку KB4012598 скачал и накатил.
Перезагрузиться.
Ну и остальные компьютеры в локальной сети пролечить.

Перезагрузиться.
Ну и остальные компьютеры в локальной сети пролечить. »Проблема с синими экранами тоже пройдет после установки KB4012598, или то уже другое?

frost357, патч закрывает уязвимость. Не будет уязвимости - не будет результативных атак. Не будет результативных атак - не будет синих экранов (сбоев в srv.sys).

патч закрывает уязвимость. Не будет уязвимости - не будет результативных атак. Не будет результативных атак - не будет синих экранов (сбоев в srv.sys). »
Понял, получается каждый синий экран это атака. Я думал это из-за каких то поврежденных файлов системных

Цитата Petya V4sechkin:
патч закрывает уязвимость »
У меня тут еще один компьютер с 2003, так вот на него патч почему то не становится! Пишет "Файл изображения update\update.exe не поврежден, но предназначен для другого типа компьютера". что это может быть?

-----

Отбой, разобрался. Там был х86 оказывается.

Понял, получается каждый синий экран это атака.
В вашем конкретном случае - да, все дампы соответствуют. А вообще, конечно, BSOD могут быть по самым разным причинам.

В вашем конкретном случае - да, все дампы соответствуют. А вообще, конечно, BSOD могут быть по самым разным причинам. »
Да так и получилось, все прекратилось! Большое спасибо всем кто помог.

Есть еще вопрос, а где взять набор обновлений, всех хотфиксов выпущенных для 2003x64, чтобы после установки системы их сразу все накатить на не искать по одному? помню раньше были такие паки на ХР, а на 2003 что-то не могу найти тут на форуме (((

Пострадали уже во второй раз от подобного вируса-взлома, тоже текстовый файл для связи выложен, но здесь они бахнули базу 1С, а именно файлы стали нулевого размера. После 1го случая сменили основной комп (пока пытались восстановить файлы. но безрезультатно), антивирус(правда каспер free, но в других отделениях пока тишина при таких же условиях), заплатку 4012598 поставил на все компы и прогнал KVRT. Отработали буквально месяц после вновь созданной базы и снова ПРИВЕТ(( Есть ли у кого то мысли как файлы вернуть? Пробовали восстанавливалками всяческими и дешифраторами с касперского всеми-нет результата. И где эта зараза может сидеть? Речь идет о районном центре, ADSL модем, учетки виндовые ограниченные. windows XP pro

Есть ли у кого то мысли как файлы вернуть?»
Верни из бэкапа, в чем проблема?

нет его. в том то и дело))