|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Как выпилить вирус из рабочей системы |
|
2008 R2 - Как выпилить вирус из рабочей системы
|
Старожил Сообщения: 326 |
Профиль | Сайт | Отправить PM | Цитировать
2008 R2, на неё установлен microsoft essential security, работает круглосуточно.
Откуда-то прилетает троян, ложится в TEMP, запускается автоматически, обычно ночью, и грузит ЦП на >50%. Процесс smss.exe от "my star" датой 30.11.2019. Прокатил КасперРемовалТул full проверку, Каспер выпиливает троян из памяти и удаляет сам файл (да и вообще все выпилил подозрительное). Но потом через пару недель он снова появляется неизвестно откуда. В планировщике ничего лишнего нет. В автозагрузке тоже. Можно ли следить за папкой, кто его туда ложит вообще? Или другой способ..? |
|
Отправлено: 11:23, 11-02-2020 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать Цитата nikhop:
Цитата nikhop:
2. Обратиться в тему Лечение систем от вредоносных программ. 3. Описать свою проблему и максимально точно выполнить рекомендации. 4. После этого. настроит брандмауэр (отключить все не используемое). Разрешить только то что нужно. 5. Установить обновления. 6. Установить антивирусник (что-то лучше microsoft essential security) и настроить его как следует. 7. Выпустить сервер в сеть. 8. Наблюдать за результатом. |
||
------- Отправлено: 11:47, 11-02-2020 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 326
|
Профиль | Сайт | Отправить PM | Цитировать Anton04,
1. В работе круглосуточно, отключать от сети нельзя. 2, 3. Попробую. 4. Сделано. 5. Сделано. 6. В бюджет не заложили, сейчас мучаемся. Надо пробить. Какой посоветуете? |
Отправлено: 12:00, 11-02-2020 | #3 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать Цитата nikhop:
Цитата nikhop:
Но устанавливать антивирусник на заранее скомпрометированную систему это не верно, притом в корне. |
||
------- Отправлено: 12:15, 11-02-2020 | #4 |
Ветеран Сообщения: 537
|
Профиль | Отправить PM | Цитировать Настроить SRP в режиме белого списка.
Включить аудит на файловой системе. Использовать Process Monitor, ибо smss.exe критический важная часть системы Использовать Process Explorer Использовать AVZ. Но лучше всего поднять новый сервер, так как имеющийся уже скомпрометирован и вирус может сидеть где угодно, и даже в ядре. |
|
------- Отправлено: 15:57, 12-02-2020 | #5 |
Старожил Сообщения: 326
|
Профиль | Сайт | Отправить PM | Цитировать Цитата paranoya:
И sfc не запускается, "не является внутренней или внешней командой". |
|
Отправлено: 19:06, 18-02-2020 | #6 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать nikhop,
Ничто не мешает Вам загрузиться через любой WinPE и банально скопировать несколько файлов с установочного дистрибутива. Как первая часть лечения вполне прокатит... P.S. Хотя судя по нулевой активности в теме по лечению, Вам это совсем не интересно... |
------- Отправлено: 21:59, 18-02-2020 | #7 |
Старожил Сообщения: 326
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Anton04:
|
|
Отправлено: 22:13, 18-02-2020 | #8 |
Ветеран Сообщения: 2068
|
Профиль | Отправить PM | Цитировать Цитата nikhop:
У меня как-то было похожая ситуация, с начало банально запретил главному файлу майнера выход в интернет штатными средствами Windows, потом отследил пути (куда конектится по каким протоколам и т.п.) и заблочил это всё на роутере, а уже потом вычистил его из системы (AVZ+autoruns+procexp). |
|
------- Отправлено: 21:30, 19-02-2020 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Разное - Как сделать образ рабочей системы и загрузить его в VMware Workstation Pro? | poisonkit | Microsoft Windows 10 | 2 | 26-08-2018 19:12 | |
Установка - Как узнать ключ от windows 7 Professional рабочей системы | SLIMYS | Microsoft Windows 7 | 7 | 06-06-2013 14:33 | |
Как удалать вирус из Браузера | Gamid | Лечение систем от вредоносных программ | 5 | 06-03-2013 22:13 | |
Доступ - Выпилить безопасность NTFS (DACL или как её там) к чертям! | slashr | Microsoft Windows 7 | 20 | 17-01-2013 01:36 | |
Загрузка - [решено] Как включить защиту системы на не рабочей семерке? | tallahassee | Microsoft Windows 7 | 4 | 22-08-2011 19:00 |
|