125 ответов в этой теме

[pig]

4012212 - это Security Only Quality Update. А есть ещё Security Monthly Quality Rollup, который 4012215. Впрочем, это не суть - если они перекрыты последующими роллапами, то не отображаются, поскольку входят в.
Я так думаю, глядя на вывод wmic.

Сообщение было изменено pig: 13 Июль 2017 - 08:59

[TASS]

4012212 - это Security Only Quality Update. А есть ещё Security Monthly Quality Rollup, который 4012215

Да, сам MS это подтверждает:

The security fixes that are listed in this Security Only Quality Update (4012212) are also included in March 2017 Security Monthly Quality Rollup 4012215.
Installing either update 4012212 or 4012215 installs the security fixes that are listed here.

This security update resolves the following vulnerabilities in Windows 7 SP1 and Windows Server 2008 R2 SP1:
• MS17-022 Security update for Microsoft XML Core Services
• MS17-021 Security update for DirectShow
• MS17-020 Security update for Windows DVD Maker
• MS17-019 Security update for Active Directory Federation Services
• MS17-018 Security update for Windows Kernel-Mode Drivers
• MS17-017 Security update for Windows Kernel
• MS17-016 Security update for Internet Information Services
• MS17-013 Security update for Microsoft Graphics Component
• MS17-012 Security update for Microsoft Windows
• MS17-011 Security update for Microsoft Uniscribe
• MS17-010 Security update for Windows SMB Server (WannaCry)
• MS17-008 Security update for Windows Hyper-V

 

Варианты проверки наличия патча в системе:

wmic qfe | find /I "4019264"

wmic qfe list | findstr 4012215

 

KB4019264 - ежемесячный майский ролап

[santy]

как вариант, блокировать в HIPS изменение тех dll, которые были ранее пропатчены, возможно HIPS обнаружит попытку и источник атаки на системные dll.

[brook73]

Коллеги я так и не понял по итогу - кому удалось вылечить?

 

Все патчи стоят, когда CureIt находит и предлагает лечение, сервер просто вылетает (перегружается).

 

У кого нибудь было подобное?

Сообщение было изменено brook73: 16 Июль 2017 - 14:06

[brook73]

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

[Jaffarrr]

Коллеги я так и не понял по итогу - кому удалось вылечить?

 

Все патчи стоят, когда CureIt находит и предлагает лечение, сервер просто вылетает (перегружается).

 

У кого нибудь было подобное?

 

Было и не прошло

Пока заразу вылечить удалось только на пользовательской машине. На серверах проблема возвращается после устранения.

[Ivan Korolev]

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

[brook73]

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

[Ivan Korolev]

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

[brook73]

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

[Ivan Korolev]

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.

[brook73]

 

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.

 

Спасибо - а что делать с тем, что CureIt не может удалить этот вирус?

 

Сервер уходит в ребут, якобы системный процесс остановили и тд.

[santy]

Спасибо - а что делать с тем, что CureIt не может удалить этот вирус?

 

Сервер уходит в ребут, якобы системный процесс остановили и тд.

 

майнер ведь под local system запущен.

пробуйте вычистить из безопасного режима системы, а затем восстановить патченные системные dll через sfc /scannow

+

рекомендации от Vvvyg:

 

Вас взламывают, видимо, всё же через RDP, (если порт подключения стандартный, смените номер порта на другой). Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем

 

Сообщение было изменено santy: 17 Июль 2017 - 11:23

[brook73]

 

 

 

 

 

Теперь он зашился в C:/Config.msi, какой же настырный товарищ попался.

 

Пришлите этот config,msi в вирлаб: vms.drweb.com/sendvirus/

 

Выслал вам архивом.

 

Он просто имя сменил - там все тоже самое, что описано выше, папка и наши добрые друзья вместе с DLL.

 

 

Подскажите номер тикета (drweb#123456).

 

#7738564

 

Спасибо, проверил на всякий случай. Тут вы правы, ничего нового.

 

Антивирус вылетел во время сканирования, в техподдержку написал ошибку.

 

Видимо не смотря на то, что антивирус известен - справится пока совсем не может.

[Ivan Korolev]

Антивирус вылетел во время сканирования, в техподдержку написал ошибку.
 
Видимо не смотря на то, что антивирус известен - справится пока совсем не может.

 

Лечить тут нечего. Трой собой перезаписывает системные либы, не сохраняя оригинал. Все, что может тут антивирус, это удалить трояна, но при этом стабильность работы ОС никто не гарантирует. В любом случае надо восстанавливать оригинальные библиотеки через sfc /scannow

 

По поводу падения - раз сканер упал во время сканирования, а не лечения, то эта угроза тут ни при чем. Этот вопрос мы с вами решим вне форума.

[brook73]

Да, спасибо - пока нет вируса. Помогло обновление базы, спасибо, что проверили - у нас был немного другой майнер - Trojan.BtcMine.1369

 

Базы обновили, вылечили. Единственное думал сервер не заведется, но кое как удалось sfc /scannow выполнить и наверно с 6-7 перегрузок сервер заработал.

[Ivan Korolev]

Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?

[Jaffarrr]

Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?

 

Есть такой софт. Устанавливал не сам, а компания, обслуживающая наше торговое оборудование. Стоит версия - 3.0.0.45303

[Ivan Korolev]

 

Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?

 

Есть такой софт. Устанавливал не сам, а компания, обслуживающая наше торговое оборудование. Стоит версия - 3.0.0.45303

 

 

У вас проблема с майнером еще актуальна? Какой у вас антвирус на сервере установлен?

[Jaffarrr]

 

 

Вопрос к пострадавшим, софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?

 

Есть такой софт. Устанавливал не сам, а компания, обслуживающая наше торговое оборудование. Стоит версия - 3.0.0.45303

 

 

У вас проблема с майнером еще актуальна? Какой у вас антвирус на сервере установлен?

 

Еще актуальна. Стоит Dr.web enterprise security suite 10.