2K3 server после удаления MS removal tool

[az113]

Товарищи, спасите! Сил нет уже бороться с напастями.
Юзвери подцепили на терминальный сервер-контроллер домена зловреда (уж не знаю как). Вирусня наглухо убила NOD32.
Обрабатывал AVZ, и MBAM, собственно, после применения последнего и перезагрузки на машине пропал интернет (и не только).
Отвалились RPC, DNS, AD, перестали работать почти все оснастки (еще бы, при неработающем-то AD!), пинги по IP - пожалуйста, по имени - фиг. Хотя nslookup работает, как ни странно.
Зловреда звали MS Removal tool, также MBAM нашел и удалил в %userprofiles%\Администратор\программы\автозагрузк а userinit.exe (trojan dropper). и в непонятно откуда взявшемся каталоге с:\winn\system32\msdnc3.exe (trojan.downloader).

Сейчас серверу очень плохо, 3/4 сервисов не работают, интернета на нем нет, AD не пашет ;(

AVZ скриптом собрал информацию на сейчас, прилагается.

[Info_bot]

Уважаемый(ая) az113, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[V_Bond]

установите sp2 + все ! доступные обновления

[az113]

эмммм.... пока нет возможности, т.к. инета на нем нету, а я в офис доехать не могу, только терминал есть.
Нет возможности подправить его хоть бы до появления инета?
потом и sp2 и апдейты накачу, конечно...

[V_Bond]

на сервере проблем со зловредами нет ... ложит сервер кто -то из сети и будет это делать пока не будут установлены обновления ...

[az113]

он не работает, даже будучи напрямую воткнутым в шлюз, с откинутыми свичами локалки, изнутри его не валят насколько я понял. Тем более что файвол можно включить или выключить - результат один ;(
На шлюзе кроме порта 3389 наружу прямо ничего не торчит, и в сеть он ходит через NAT, так что прямая атака снаружи тоже исключена.