nlbrute.exe i worker.exe wirusy problem

[dawidwlkp 0]

Witam. Na jednym z serwerów nie miałem antywira - był uruchomiony rdp, po wgraniu antywirusa wykrył nlbrute.exe - kwarantanna i teraz codziennie przychodzą mi dwa komunikaty:

 

A high-risk incident was detected on WIN2008 within the group Default Group on 9/18/2017 10:00:18 AM.

Incident Details

Trojan.Gen

Threat Name

Trojan.Gen

Threat Type

Virus

File Name

\\tsclient\fxc\worker.exe

Action Required

No Action Required

 

Przy skanowaniu kompa program antywirusowy nic nie wykrywa - uruchamiałem również antywira z bootowalnego pendrive - zero problemów. malwarebytes tez nic nie widzi. Proszę o pomoc jak się tego pozbyć

Pozdrawiam

[filutka78 11]

1) Zrób logi z FRST > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

2) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

worker.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

worker.exe;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

F.

[eNeSik 88]

Takie pytanie - czy na owych serwerach trzymasz serwer TeamSpeak 3 ?

 

Bo worker.exe i nlbrute.exe zalatuje mi syfem do przejmowania kontroli i łamania UID lub/i łamania/generowania privileges key

[dawidwlkp 0]

[HKEY_USERS\S-1-5-21-3498243197-3505582512-2169529799-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]

"a"="cmd.exe /C \\tsclient\fxc\worker.exe 95.51.39.178\1"

tylko w przeszukiwaniu rejestru znalazł taki wpis - usunąłem tenże wpis mam nadzieje, że pomoże

Dzięki wielkie za pomoc

 

 

1) Zrób logi z FRST > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

2) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

F.

 

Farbar Recovery Scan Tool (x64) Wersja: 17-09-2017 01

Uruchomiony przez Administrator (19-09-2017 11:32:39)

Uruchomiony z C:\Users\Administrator\Desktop

Tryb startu: Normal

 

================== Szukaj plików: "worker.exe" =============

 

====== Koniec Szukaj ======

 

Takie pytanie - czy na owych serwerach trzymasz serwer TeamSpeak 3 ?

 

Bo worker.exe i nlbrute.exe zalatuje mi syfem do przejmowania kontroli i łamania UID lub/i łamania/generowania privileges key

 

Nie nic z tych rzeczy. RDP tylko

[filutka78 11]

C \\tsclient\fxc\worker.exe

ale to wskazuje, że kiedyś był Team Speak

[dawidwlkp 0]

ale to wskazuje, że kiedyś był Team Speak

nic mi o tym nie wiadomo, może kiedyś ktoś szukał innego rozwiązania niż RDP - VNC używaliśmy kiedyś(nie na tym serwerze) , wyczytałem, że tsclient działa jak vnc. Pozostałości po VNC również nie zauważam. Nie mam pojęcia skąd to mogło się wziąć - ale bez antywira to nie mogę oczekiwać bezpieczeńśtwa.