Вирусная атака на Windows 2003 и ее последствия
Вложений: 1
Доброго времени, прошу помощи уважаемые коллеги. На работе возникла нештатная ситуация. На сервер терминалов, он же файловый сервер проникла какая-то зараза. Первое что появилось это файлы в корневых папках на диске С, с именем "ПРОЧИТАТЬ!!!". Внутри содержался текст следующего содержания: "Для получения доступа к файлам пишите нa thorntitini1979@danwin1210.me". Ничего особо важного на первый взгляд не пропало. Вирус уничтожил программу 1С, но базы остались нетронутые, восстановили довольно быстро. На компьютере был установлен Антивирус Касперского, базы обновлялись. Я прогнал сервер утилитой KVRT и avz4, в памяти нашелся троян и был удален. Но после этого, либо так совпало, компьютер стал работать очень нестабильно. 2-3 раза в сутки вылетает "синий экран", причем бывают разные коды ошибок. Не знаю что делать дальше, переустанавливать конечно крайний вариант, хотелось бы хотя бы на время вернуть стабильность серверу. Планируем обновить старую ОС на 2012 сервер, но пока надо работать. Подскажите что можно сделать. Расшифровки из малого дампа памяти прилагаю.
|
frost357, обновление KB4012598 установлено?
Цитата:
|
Вложений: 1
Цитата:
|
frost357, в стеке присутствует:
Цитата:
Наверное, сервер ещё и в Интернет смотрит внешним интерфейсом с "белым" IP-адресом, включенной "службой доступа к файлам и принтерам" на этом интерфейсе, без брандмауэра/файрвола? |
Цитата:
|
Цитата:
|
Цитата:
Это в дополнение (полезная мера безопасности). EternalBlue уже три месяца зловреды используют в хвост и в гриву, несколько эпидемий было... Но "пока гром не грянет, мужик не перекрестится", да? :) Цитата:
Ну и остальные компьютеры в локальной сети пролечить. |
Цитата:
|
frost357, патч закрывает уязвимость. Не будет уязвимости - не будет результативных атак. Не будет результативных атак - не будет синих экранов (сбоев в srv.sys).
|
Цитата:
|
Цитата Petya V4sechkin:
патч закрывает уязвимость » У меня тут еще один компьютер с 2003, так вот на него патч почему то не становится! Пишет "Файл изображения update\update.exe не поврежден, но предназначен для другого типа компьютера". что это может быть? ----- Отбой, разобрался. Там был х86 оказывается. |
Цитата:
|
Цитата:
Есть еще вопрос, а где взять набор обновлений, всех хотфиксов выпущенных для 2003x64, чтобы после установки системы их сразу все накатить на не искать по одному? помню раньше были такие паки на ХР, а на 2003 что-то не могу найти тут на форуме ((( |
Пострадали уже во второй раз от подобного вируса-взлома, тоже текстовый файл для связи выложен, но здесь они бахнули базу 1С, а именно файлы стали нулевого размера. После 1го случая сменили основной комп (пока пытались восстановить файлы. но безрезультатно), антивирус(правда каспер free, но в других отделениях пока тишина при таких же условиях), заплатку 4012598 поставил на все компы и прогнал KVRT. Отработали буквально месяц после вновь созданной базы и снова ПРИВЕТ(( Есть ли у кого то мысли как файлы вернуть? Пробовали восстанавливалками всяческими и дешифраторами с касперского всеми-нет результата. И где эта зараза может сидеть? Речь идет о районном центре, ADSL модем, учетки виндовые ограниченные. windows XP pro
|
Цитата:
|
нет его. в том то и дело))
|
Время: 22:18. |
Время: 22:18.
© OSzone.net 2001-