ESET CONNECT

[QUOTE]santy написал:
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits  [/QUOTE]
Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))[QUOTE]santy написал:
1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)4. если будет включено отслеживание событий -  обязательно новой версией uVS 4.11.7   (твиком 39+перезагрузка системы)[/QUOTE]
1. Мне нужно снова отправить образ?[QUOTE][QUOTE]santy написал:
надо иметь ввиду след. сообщение от разработчика:Цитата(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,   (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.[/QUOTE]

[/QUOTE]
Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.

[QUOTE]santy написал:
;uVS v4.11.7 [[URL=http://dsrt.dyndns.org:8888]http://dsrt.dyndns.org:8888[/URL]]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/QUOTE]
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine  - тут пусто.

Обязательно отпишусь!

На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.

[I]пришлите карантин этих файлов прислать в почту [/I][URL=mailto:safety@chklst.ru][I]safety@chklst.ru[/I][/URL][I] в архиве с паролем infected[/I]
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это [URL=https://forum.esetnod32.ru/forum9/topic10688/]https://forum.esetnod32.ru/forum9/topic10688/[/URL]
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.

В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?

Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

[QUOTE]santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

  [/QUOTE]
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
[QUOTE] santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]
[/QUOTE]
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "[URL=HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"]HTTPS://ACME-V02.API.LETSENCRYPT.ORG/&quot[/URL];[/QUOTE]
Да, это сертификаты обновляет.

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]