-
Junior Member
- Вес репутации
- 48
Помогите победить вирусную напасть на 2003
Здравствуйте,
несколько дней безрезультатно борюсь с напастью на терминальном сервере на базе win 2003
Изначально на нем обнаружился virut.ce , который заразил все системные файлы, и файлы оснасток. Файлы оснасток (compmgmt.msc, gpedit.msc ...), и некоторые системные утилиты (regedit, tsadmin...) побились.
Для лечения пробовал воспользоваться утилитами VirutKiller, VirutRemover, CureIt, Kaspersky Rescue Disc 10. Запускал утилиты и в безопасном режиме, и с загрузочных LiveCD. После загрузки в обычном режиме, системные файлы инфицировались вновь. VirutKiller начинал ловить активный инфицированный поток в winlogon.exe. Кроме того, после терминального коннекта с любого удаленного компьютера, в процессах появлялись зловреды (wuaucldt, regedit, cfooyvp)
Изучив реестр с LiveCD, обнаружил зловредов в ветках
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Polices/Explorer/Run
HKU/Software/Microsoft/Windows/CurrentVersion/Run
Сами зловреды находились по
windows/system32/
windows/system32/config
%User%/Temp
%User%/
После чистки веток реестра и удаления файлов, зловреды пропали, однако уже после первого терминального коннекта, появились в полном составе вновь. Изучил, что проблема возникает при коннекте любого компьютера, и на клиентах все чисто.
К сожалению, могу приложить только secure логи с AVZ, так как пишу уже с другого места, и сейчас не имею возможности сделать другие логи
Прошу любой посильной помощи, так как у самого руки уже опускаются, а применить "format c" на данной машине возможности нет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sigverif.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\sigverif.exe','');
QuarantineFile('C:\infected\infected\sys\sigverif.exe','');
TerminateProcessByName('c:\docume~1\networ~1\locals~1\temp\cfooyvp.exe');
QuarantineFile('c:\docume~1\networ~1\locals~1\temp\cfooyvp.exe','');
TerminateProcessByName('c:\windows\fonts\services.exe');
QuarantineFile('c:\windows\fonts\services.exe','');
TerminateProcessByName('c:\windows\temp\vrtb.tmp');
QuarantineFile('c:\windows\temp\vrtb.tmp','');
TerminateProcessByName('c:\documents and settings\networkservice\wuaucldt.exe');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\documents and settings\Юзер9\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\Юзер8\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\networkservice\wuaucldt.exe','');
QuarantineFile('C:\windows\system32\regedit.exe','');
QuarantineFile('c:\WINDOWS\system32\userinit.exe','');
DeleteFile('C:\windows\system32\regedit.exe');
DeleteFile('c:\documents and settings\networkservice\wuaucldt.exe');
DeleteFile('c:\documents and settings\Юзер8\wuaucldt.exe');
DeleteFile('c:\documents and settings\Юзер9\wuaucldt.exe');
DeleteFile('c:\windows\temp\vrtb.tmp');
DeleteFile('c:\windows\fonts\services.exe');
DeleteFile('c:\docume~1\networ~1\locals~1\temp\cfooyvp.exe');
DeleteFile('C:\infected\infected\sys\sigverif.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\sigverif.exe');
DeleteFile('C:\WINDOWS\system32\sigverif.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
end.
Перезагрузите сервер вручную
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-