-
Junior Member
- Вес репутации
- 47
2K3 server после удаления MS removal tool
Товарищи, спасите! Сил нет уже бороться с напастями.
Юзвери подцепили на терминальный сервер-контроллер домена зловреда (уж не знаю как). Вирусня наглухо убила NOD32.
Обрабатывал AVZ, и MBAM, собственно, после применения последнего и перезагрузки на машине пропал интернет (и не только).
Отвалились RPC, DNS, AD, перестали работать почти все оснастки (еще бы, при неработающем-то AD!), пинги по IP - пожалуйста, по имени - фиг. Хотя nslookup работает, как ни странно.
Зловреда звали MS Removal tool, также MBAM нашел и удалил в %userprofiles%\Администратор\программы\автозагрузк а userinit.exe (trojan dropper). и в непонятно откуда взявшемся каталоге с:\winn\system32\msdnc3.exe (trojan.downloader).
Сейчас серверу очень плохо, 3/4 сервисов не работают, интернета на нем нет, AD не пашет ;(
AVZ скриптом собрал информацию на сейчас, прилагается.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) az113, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
установите sp2 + все ! доступные обновления
-
-
Junior Member
- Вес репутации
- 47
эмммм.... пока нет возможности, т.к. инета на нем нету, а я в офис доехать не могу, только терминал есть.
Нет возможности подправить его хоть бы до появления инета?
потом и sp2 и апдейты накачу, конечно...
-
на сервере проблем со зловредами нет ... ложит сервер кто -то из сети и будет это делать пока не будут установлены обновления ...
-
-
Junior Member
- Вес репутации
- 47
он не работает, даже будучи напрямую воткнутым в шлюз, с откинутыми свичами локалки, изнутри его не валят насколько я понял. Тем более что файвол можно включить или выключить - результат один ;(
На шлюзе кроме порта 3389 наружу прямо ничего не торчит, и в сеть он ходит через NAT, так что прямая атака снаружи тоже исключена.