достает syndication.exdynsrv [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : достает syndication.exdynsrv

plavnik

19-11-2020, 13:48

Добрый день всем.

Пару месяцев достает syndication.exdynsrv. У нас есть сайт на asp.net, работает на IIS и все это на 2012R2. Клиентов редиректит на всякую рекламную хрень, задолбало.
Стоял лиц eset 7.1 файл секьюрити для серверов. малваребайтс, касперский вирус ремувал, анхакми и т.д. все безполезно.
юблок в хроме показывает, что блокирует - scripthttp://a.exdynsrv.com/popunder1000.js

Логи прикладываю.

akok

19-11-2020, 14:33

Чья реклама на сайте установлена?

Кстати, вы в кусе, что на сервере шифровальщик поработал?

plavnik

19-11-2020, 17:19

Кстати, вы в кусе, что на сервере шифровальщик поработал? »
Да, спасибо, с ним разобрались, вроде.

Чья реклама на сайте установлена? »
Да всякое - cryptofans.ru из последнего

akok

20-11-2020, 11:18

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

plavnik

20-11-2020, 16:41

Сделал

akok

24-11-2020, 00:43

Прошу прощения. На форум давно не заходил.

Ваши?
ad (S-1-5-21-1531125952-4156090974-3744252-1004 - Administrator - Enabled)
adm (S-1-5-21-1531125952-4156090974-3744252-1001 - Administrator - Enabled) => C:\Users\adm
Администратор (S-1-5-21-1531125952-4156090974-3744252-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-1531125952-4156090974-3744252-501 - Limited - Enabled)

Знакомо
HKU\S-1-5-21-1531125952-4156090974-3744252-1001\...\Run: [PM2] => wscript.exe "C:\Users\adm\AppData\Roaming\npm\node_modules\pm2-windows-startup\invisible.vbs" "C:\Users\adm\AppData\Roaming\npm\node_modules\pm2-windows-startup\pm2_resurrect.cmd"

В остальном система не заражена, нужно перебирать сам сайт и/или рекламные модули.

plavnik

26-11-2020, 13:32

akok,
Да, все наше -
ad (S-1-5-21-1531125952-4156090974-3744252-1004 - Administrator - Enabled)
adm (S-1-5-21-1531125952-4156090974-3744252-1001 - Administrator - Enabled) => C:\Users\adm
Администратор (S-1-5-21-1531125952-4156090974-3744252-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-1531125952-4156090974-3744252-501 - Limited - Enabled)

pm2-windows-startup - программер говорит тоже наше.

Код сайта смотрел, гворит все ок. Вчера начал смотреть базу.