На сервере Exchange 2016 подозрительные объекты

[StaDen]

Добрый вечер
прошу помощи оценить угрозу на Сервере Exchange 2016

Дефенндер поместил в карантин 7 объектов, привожу ниже

Полное сканирование вирусов не обнаружило.

Спойлер: Подозрительные объекты

1Категория: Лазейка М: Backdccr:MSIL Chcpper.F!dha

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_30hpykx1.dll
file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_hfghhvuw.dll

2Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\localhost\c$\inetpub\wwwroot\aspnet_client\arsfyojuubbmzwyd.aspx
internalbehavior:1F0DA52ABAD274235F698F1B5AD8E3E6

3Категория: Троян Trojan:Win32/Wacatac.B!ml

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_i32jeqe3.dll

4Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\MAIL\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\TNGBFMM.aspx
internalbehavior:0B0C88877AE5BBDEC11EF68904CDE36E

5Категория: Подозрительное поведение Behavior:Win32/SuspExchgSession.E

file:\\127.0.0.1\C$\inetpub\wwwroot\aspnet_client\253283293.aspx
internalbehavior:390FF6E984E55B954E38B8F75B36299D

6Категория: Троян Trojan:Win32/Sabsik.FL.B!ml

file:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_i32jeqe3.dll

7Категория: Средство эксплуатации уязвимостей Exploit:Win32/CVE-2017-11882!ml

file:C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent\8666b81c-bdba-47a5-9ff1-7214a7fc96f7

 

[Surf_rider]

Написано же явно что там сифилис сидит
Trojan:Win32/Wacatac.B!ml

 

[Surf_rider]

Касперский спасет мир. После того как пролечите проверьте целостность системы

 

[Vadim]

Backdccr:MSIL Chcpper.F!dha
Win32/SuspExchgSession.E
Trojan:Win32/Wacatac.B!ml
Trojan:Win32/Sabsik.FL.B!ml
Exploit:Win32/CVE-2017-11882!ml

Ну вы даете...
Проверьтесь антивирусником. Поставьте CU на Exchange. Можете точно сказать какая версия Exchange?
Дайте вывод
get-exchangeserver fl name,edition,admindisplayversion

 

[GoodWIN]

Use the following free Microsoft software to detect and remove this threat:

• Windows Defender for Windows 10 and Windows 8, or Microsoft Security Essentials for Windows 7 and Windows Vista
• Microsoft Safety Scanner

You should also run a full scan. A full scan might find other hidden malware.

Update software​

After you've removed this threat from your PC, you should update your software to protect yourself from other exploits.

 

[StaDen]

Касперский спасет мир. После того как пролечите проверьте целостность системы

Сделал частичную проверку (системную память и объекты автозагрузки, загр. сектора) с помощью утилиты Kaspersky Virus Removal Tool – ничего не обнаружено

Ну вы даете...
Проверьтесь антивирусником. Поставьте CU на Exchange. Можете точно сказать какая версия Exchange?
Дайте вывод
get-exchangeserver fl name,edition,admindisplayversion

Сам в шоке, честно говоря лишний раз боялся трогать exchange, так как он развернут на старом железе… Сейчас планирую переезд на новое железо, пока ещё не знаю, как это правильно сделать…

get-exchangeserver | fl edition,admindisplayversion

Edition : Standard
AdminDisplayVersion : Version 15.1 (Build 1531.3) - CU10

Да вижу уже CU21 вышел

 

[awocose]

можно уж тогда на Exchange server 2019 прыгать, но только с Exchange 2016+CU 13 по-моему минимум, могу ошибаться.