Добрый день! Windows Server 2008R2 подозрение на заражение (мелькает какой-то процесс в диспетчере задач; нагрузка на ЦП; после открытия диспетчера задач - нагрузка на ЦП падает; через некоторое время Диспетчер задач самопроизвольно закрывается) Лог прикрепляю. Спасибо!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ из папки Автологера (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
TerminateProcessByName('c:\programdata\wininit.exe');
TerminateProcessByName('c:\windows\tasks\mstask.exe');
TerminateProcessByName('c:\windows\temp\~mp52b1.tmp\~ma4650.exe');
StopService('TaskSc');
StopService('WMService');
QuarantineFile('c:\programdata\wininit.exe', '');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '');
QuarantineFile('c:\windows\tasks\mstask.exe', '');
QuarantineFile('C:\windows\tasks\Wmiic.exe', '');
QuarantineFile('C:\Windows\TEMP\rundll32.exe', '');
QuarantineFile('C:\Windows\temp\System.exe', '');
DeleteSchedulerTask('aTMrQbpn');
DeleteSchedulerTask('CMoNKafg');
DeleteSchedulerTask('GQQYCmMy');
DeleteSchedulerTask('rundll32');
DeleteFile('c:\programdata\wininit.exe', '');
DeleteFile('C:\programdata\wininit.exe', '64');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '32');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Services.exe', '64');
DeleteFile('c:\windows\tasks\mstask.exe', '32');
DeleteFile('C:\windows\tasks\Wmiic.exe', '64');
DeleteFile('C:\Windows\TEMP\rundll32.exe', '32');
DeleteFile('C:\Windows\TEMP\rundll32.exe', '64');
DeleteFile('C:\Windows\temp\System.exe', '64');
DeleteService('TaskSc');
DeleteService('WMService');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32.exe', '32');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32.exe', '64');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Services.exe', '32');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Services.exe', '64');
ExecuteSysClean;
end.


Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Adobe Flash Player 11 Plugin 64-bit - устарел и больше не поддерживается. Удалите.


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт): »
Можно ли выполнить данный скрипт из терминала?

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить.

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить. »
К сожалению, там остаться не вариант, когда работают пользователи - это не сделаешь, когда заканчивается рабочий день все закрывается и развозит служебка, если оставаться то сразу на всю ночь)
Поэтому и спрашиваю, выполнить скрипт и сразу отправить на ребут... А лог собрать с консоли уже. После выполнения скрипта не отрубит терминал, был ли у вас такой опыт?

Если есть возможность подключиться, например, через TeamViewer, то сработает и также через Team пустите на перезагрузку.
Конечно, желательно бы находиться там рядом, мало ли что может пойти не так, как задумано.

Вредонос сидит в системе, попробуйте как-то запланировать остановку сервера, предупредив заблаговременно всех пользователей.

например, через TeamViewer, то сработает и также через Team пустите на перезагрузку »
Вот так сделать смогу. Спасибо. О результатах отпишу

Не желательно, тем более, что после выполнения компьютер следует как можно быстрее перезагрузить. »
Из терминальной сессии все прошло успешно
если размер архива превышает 10 MB »
Отправил на почту
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »
Логи смогу собрать только завтра с утра.

Хорошо.

Логи смогу собрать только завтра с утра. »
Обновленные логи прикрепляю

Тут уже выглядит лучше.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Прикрепите отчеты к своему следующему сообщению. »
Отчеты:

В системе шесть администраторов. На мой взгляд - многовато. Желательно у всех сменить пароли на учётную запись.

Следующий скрипт сделает некоторые небольшие изменения и удалит разрешающие правила на перечисленные порты.
Если открывали их специально, сообщите до выполнения скрипта.

Сообщите известны ли вам все эти файлы:
2022-02-26 08:53 - 2022-02-26 08:31 - 087057343 _____ () C:\ProgramData\migrate.exe
2022-02-26 08:53 - 2022-02-26 07:54 - 000000032 _____ () C:\ProgramData\ru.bat
2022-02-26 08:53 - 2022-02-26 08:14 - 000002368 _____ () C:\ProgramData\st.bat
2020-12-14 01:15 - 2020-12-16 05:51 - 000048640 _____ () C:\ProgramData\Update-os.exe
2020-12-30 15:17 - 2020-12-30 22:48 - 019071488 _____ (6.1.23.45) C:\ProgramData\Virus.exe
2020-12-17 11:23 - 2020-12-24 19:18 - 019071488 _____ (6.1.23.45) C:\ProgramData\VirusTotal.exe
2020-12-18 14:18 - 2020-12-18 14:24 - 018866688 _____ (WinRAR) C:\ProgramData\winrar-x64-591d.exe

Понадобится также перезагрузка.


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
Task: {C922BA2B-20E2-430A-8C83-898531D33855} - System32\Tasks\wificart => C:\Windows\system32\config\systemprofile\AppData\Roaming\wificart.exe (Нет файла) <==== ВНИМАНИЕ
2022-02-26 08:53 - 2022-02-26 08:31 - 087057343 _____ () C:\ProgramData\migrate.exe
2022-02-26 08:53 - 2022-02-26 07:54 - 000000032 _____ () C:\ProgramData\ru.bat
2022-02-26 08:53 - 2022-02-26 08:14 - 000002368 _____ () C:\ProgramData\st.bat
2020-12-14 01:15 - 2020-12-16 05:51 - 000048640 _____ () C:\ProgramData\Update-os.exe
2020-12-30 15:17 - 2020-12-30 22:48 - 019071488 _____ (6.1.23.45) C:\ProgramData\Virus.exe
2020-12-17 11:23 - 2020-12-24 19:18 - 019071488 _____ (6.1.23.45) C:\ProgramData\VirusTotal.exe
2020-12-18 14:18 - 2020-12-18 14:24 - 018866688 _____ (WinRAR) C:\ProgramData\winrar-x64-591d.exe
FirewallRules: [{4B9C2C1A-290C-4979-B74D-CE0A344A222D}] => (Block) LPort=88
FirewallRules: [{C7E9BE11-A2F2-4803-8920-DC6FAC5F7BA2}] => (Allow) LPort=3389
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

На мой взгляд - многовато. »
Согласен. Поправил
Сообщите известны ли вам все эти файлы: »
НеизвестныЕсли открывали их специально, сообщите до выполнения скрипта. »
Все порты открыты нами. Получается скрипт выполнять нет необходимости?

Выполните, я его подправил.
Порт 3389 держать открытым - плохая идея. Отсюда и постоянное заражение.

Порт 3389 держать открытым - плохая идея »
Странно, он не используется, он поменян и в правилах не могу его найти.
Выполните, я его подправил. »
Хорошо

Скрипт в том числе уберет разрешение на этот порт.

Скрипт в том числе уберет разрешение на этот порт. »
Не могу понять, это просто старая запись осталась.
Я писал ранее что Странно, он не используется, он поменян и в правилах не могу его найти. »
имел ввиду что RDP порт используется, но изменен его номер. После выполнения скрипта будет ли работать RDP?

После выполнения скрипта не заходит по RDP (((( на экране: "Клиент групповой политики" и крутится значок и не заходит. Завтра будет кипешь конкретный ....

Завтра будет кипешь конкретный .... »
Дал волю эмоциям, надо было просто подождать))
Программа создаст лог-файл (Fixlog.txt) »
Прикрепляю

Хорошо. Проблема решена?