Перейти к содержимому


Фото
- - - - -

Windows Server 2008 падает служба


  • Закрыто Тема закрыта
23 ответов в этой теме

#21 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 20 Август 2019 - 15:27

Собственно, пазл сошелся:

 

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.win32.vools.ag

 

Все из компонентов были вычищены нами.

C:\Windows\NetworkDistribution\tibe-2.dll - infected with Trojan.Equation.23
C:\Windows\NetworkDistribution\posh-0.dll - infected with Trojan.Equation.77
C:\Windows\NetworkDistribution\libxml2.dll - is hacktool program Tool.Equation.23
C:\Windows\NetworkDistribution\exma-1.dll - infected with Trojan.Equation.17
C:\Windows\NetworkDistribution\trfo-2.dll - infected with Trojan.Equation.25
C:\Windows\NetworkDistribution\trch-1.dll - infected with Trojan.Equation.24
C:\Windows\NetworkDistribution\coli-0.dll - infected with BackDoor.Spy.3365
C:\Windows\NetworkDistribution\svchost.exe - infected with BackDoor.Spy.3365
C:\Windows\NetworkDistribution\trfo-2.dll - deleted
C:\Windows\NetworkDistribution\posh-0.dll - deleted
C:\Windows\NetworkDistribution\tibe-2.dll - deleted
C:\Windows\NetworkDistribution\trch-1.dll - deleted
C:\Windows\NetworkDistribution\exma-1.dll - deleted
C:\Windows\NetworkDistribution\libxml2.dll - quarantined
C:\Windows\NetworkDistribution\svchost.exe - deleted
C:\Windows\NetworkDistribution\coli-0.dll - deleted
C:\Windows\NetworkDistribution\tucl-1.dll - infected with Trojan.Equation.26
C:\Windows\NetworkDistribution\tucl-1.dll - deleted
C:\Windows\NetworkDistribution\ucl.dll - infected with Trojan.Equation.91
C:\Windows\NetworkDistribution\ucl.dll - deleted

Остальные были вычещены ранее. Можно еще посмотреть вручную, остались ли какие-то dll в C:\Windows\NetworkDistribution.

 

Ну и, видимо, вредоносное письмо.

>>D:\DB\NewMail\Priemnaya\INBOX-1\3295.part is ZIP archive
D:\DB\NewMail\Priemnaya\INBOX-1\3295.part\info.zip - infected with JS.DownLoader.1225
D:\DB\NewMail\Priemnaya\INBOX-1\3295.part\info.zip - infected, incurable

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#22 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 22 Август 2019 - 16:00

RomaNNN, dll в этой папке ббольше никаких нет, только два txt-шных файла и два xml. Про письмо я понял, буду разбираться, почему на том компе антивирь пропустил вирусняк. После полной проверки и вычищения остатков вирусов никакой активности не наблюдалось, первоначальная проблема также не возникала. Большущее спасибо за помощь!



#23 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 22 Август 2019 - 16:43

RomaNNN, В общем антивирус на компе - виновнике торжества ни при чем, это я недоглядел. С тем компом сталкиваюсь очень редко, поэтому пропустил то, что на нем стоит старая 6-я версия агента DrWeb. Ввиду того, что некоторое время назад мы перешли с 6-й версии DrWeb ESS на 11, комп, можно сказать, остался без защиты. Установил актуальную версию АВ, так еще не успел сканер на проверку запустить, как суслики ровным строем поскакали в карантин :) Еще раз спасибо!



#24 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Август 2019 - 17:37

Отлично. За сим эту тему закрываю.

 

Если будут подозрения или проблемы по другим машинам - велком в новую тему. Но сразу с установленными обновлениями и отчетом.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых