Здравствуйте. Заражена система W2K3server_SP2. Наличие зверя постоянно отлавливается установленным НОДом - оттуда и название заголовка этой темы. Это подтверждается следующими сообщениями:
24.01.2013 10:26:27 — Модуль Защита в режиме реального времени —
Предупреждение об угрозе на компьютере SV1: объект
C:\WINDOWS\System32\vnmylpp.lhg заражен вирусом Win32/Conficker.AA червь.
1.При включенном планировщике заданий образуется AT... задание, плодящее процессы rundll32.exe и представленное командой: rundll32.exe vnmylpp.lhg ,zvpza с ежедневным её выполнением, примерно, каждый час.
2.Средства CureIt ,Kidokiller, НОД - беспомощны на полное удаление.
3.Заплаты MS08-067, MS08-068, MS09-001 стоят.
4.При запуске GMER сервер уходит на перезагрузку.
Надеюсь на Ваш совет. Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Capral55, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Capral55 надо не только эти заплатки, а все обновления виндоус поставить !
Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
- - - Добавлено - - -
+ логи сделаны из терминальной сессии, все логи надо делать из под локали.
+ Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
Здравствуйте!
Скажу сразу, что сообщения о наличии вируса программой НОД прекратились со 02.02.2013 с 17-30 местного времени, точнее говоря было проведено только полное обновление W2K3 server.
Тем не менее, я довожу нашу переиску до логического конца и отправляю Вам результаты сегодняшней загрузки AVZ :
Результат загрузки
Файл сохранён как 130204_001625_virusinfo_files_SV1_510efdd9b7fc9.zi p
Размер файла 1255742
MD5 ea9e432348dc9fb5619cf93b66d9a38c
Файл закачан, спасибо!
И ещё вопрос - второй раз получил замечание "логи сделаны из терминальной сессии, все логи надо делать из под локали". Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального. В чём я не прав ?
Но главное - вируса больше нет. Благодарю Вас. Будет время - пожалуйста ответьте и совместно - закроем эту тему.
Тогда всё правильно. Обновить бы сервер не помешало.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Я сделал это , скрипт прошёл без создания лога, выдав в конце : окно - Скрипт выполнен без ошибок. Окно результата:Поиск критических уязвимостей. Часто используемые уязвимости не обнаружены.
Я обновлялся именно через Windows Update. Сделал все обновления. После этого вирус НЕ обнаруживается программой НОД. Логи RSIT могу сделать только ночью - сервер постоянно в работе.. А надо ли ? - вируса-то нет. Всё работает нормально.
- - - Добавлено - - -
Самый первый лог - да, был грех, но потом-то...
Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального.
Последний раз редактировалось Capral55; 05.02.2013 в 04:51.
Да, только в назначенных всегда одно, в дан.случае AT978, причём цифра меняется, в тек момент их два 997 и 996. Если удалишь - появится новое 998. Они образуются , когда НОД фиксирует наличие вируса.
Запустил MBAM во время работы сервера с пользователями - сервер завис, пришлось перегружать.
[
Последний раз редактировалось Capral55; 06.02.2013 в 09:16.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: