|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » достает syndication.exdynsrv |
|
|
достает syndication.exdynsrv
|
|
Новый участник Сообщения: 5 |
Добрый день всем.
Пару месяцев достает syndication.exdynsrv. У нас есть сайт на asp.net, работает на IIS и все это на 2012R2. Клиентов редиректит на всякую рекламную хрень, задолбало. Стоял лиц eset 7.1 файл секьюрити для серверов. малваребайтс, касперский вирус ремувал, анхакми и т.д. все безполезно. юблок в хроме показывает, что блокирует - scripthttp://a.exdynsrv.com/popunder1000.js Логи прикладываю. |
|
|
Отправлено: 13:48, 19-11-2020 |
Ветеран Сообщения: 765
|
Профиль | Сайт | Отправить PM | Цитировать Чья реклама на сайте установлена?
Кстати, вы в кусе, что на сервере шифровальщик поработал? |
|
------- Отправлено: 14:33, 19-11-2020 | #2 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать |
|
Отправлено: 17:19, 19-11-2020 | #3 |
|
Ветеран Сообщения: 765
|
Профиль | Сайт | Отправить PM | Цитировать Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
|
------- Отправлено: 11:18, 20-11-2020 | #4 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Сделал
|
|
|
Отправлено: 16:41, 20-11-2020 | #5 |
|
Ветеран Сообщения: 765
|
Профиль | Сайт | Отправить PM | Цитировать Прошу прощения. На форум давно не заходил.
Ваши? ad (S-1-5-21-1531125952-4156090974-3744252-1004 - Administrator - Enabled) adm (S-1-5-21-1531125952-4156090974-3744252-1001 - Administrator - Enabled) => C:\Users\adm Администратор (S-1-5-21-1531125952-4156090974-3744252-500 - Administrator - Enabled) => C:\Users\Администратор Гость (S-1-5-21-1531125952-4156090974-3744252-501 - Limited - Enabled) Знакомо HKU\S-1-5-21-1531125952-4156090974-3744252-1001\...\Run: [PM2] => wscript.exe "C:\Users\adm\AppData\Roaming\npm\node_modules\pm2-windows-startup\invisible.vbs" "C:\Users\adm\AppData\Roaming\npm\node_modules\pm2-windows-startup\pm2_resurrect.cmd" В остальном система не заражена, нужно перебирать сам сайт и/или рекламные модули. |
|
------- Отправлено: 00:43, 24-11-2020 | #6 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать akok,
Да, все наше - ad (S-1-5-21-1531125952-4156090974-3744252-1004 - Administrator - Enabled) adm (S-1-5-21-1531125952-4156090974-3744252-1001 - Administrator - Enabled) => C:\Users\adm Администратор (S-1-5-21-1531125952-4156090974-3744252-500 - Administrator - Enabled) => C:\Users\Администратор Гость (S-1-5-21-1531125952-4156090974-3744252-501 - Limited - Enabled) pm2-windows-startup - программер говорит тоже наше. Код сайта смотрел, гворит все ок. Вчера начал смотреть базу. |
|
Отправлено: 13:32, 26-11-2020 | #7 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
|
|
Время: 14:59. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
