-
Junior Member
- Вес репутации
- 50
Остатки вируса на терминальном сервере
На терминальный сервер (Windows 2003) был занесен вирус (Dr. WEB детектировал как Trojan.Siggen1.26203 и Trojan.Packed.20312). Произвел лечение Kaspersky Virus Removal Tool. Есть подозрение что вирус остался. Нужные логи прикладываю. Так же сразу сделал лог MBAM. Плюс ко всему переодически появляется окно "Диск Windows отсутствует"
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) neonox, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 50
Можно получить какие-либо комментарии по проблеме?
-
neonox, здравствуйте.
По логу MBAM:
Все последующее делать не из терминальной сессии.
Внимание! Потребуется перезагрузка.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
O4 - Startup: setup_9.0.0.722_07.06.2011_10-47.lnk = ?
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\user2\local settings\Temp\2\E_4\dp1.fne','');
QuarantineFile('c:\documents and settings\user2\local settings\Temp\2\E_4\internet.fne','');
QuarantineFile('c:\WINDOWS\system32\Crypt.dll','');
DeleteFile('c:\documents and settings\user2\local settings\Temp\2\E_4\dp1.fne');
DeleteFile('c:\documents and settings\user2\local settings\Temp\2\E_4\internet.fne');
RegKeyIntParamWrite('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced','Start_ShowMyDocs', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора,
AVZ запущен из терминальной сессии (RDP-Tcp#10)
Лог АВЗ принять не могу, так как нужно запускать на локальной машине из-под администратора.
Последний раз редактировалось thyrex; 15.06.2011 в 21:16.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 50
Дайте, плиз ответ стоит мне ждать помощи с этой проблемой или стоит пытаться избавиться другими способами?
P.S.: Вирус через флешки уже есть и на других компьютерах.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Доброе утро! Карантин отправил. Новые логи сделал.
Фиксить в HJT
O4 - Startup: setup_9.0.0.722_07.06.2011_10-47.lnk = ?
не стал, т.к. это автозапуск Kaspersky Virus Removal Toоl
-
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-