-
Junior Member
- Вес репутации
- 39
Прошу помочь в поимке вируса Trojan-Downloader.BAT.Small.ap
Прошу помочь в поимке вируса.
Антивирус Касперского Version: 8.0.0.559 . ловит только продукты вируса а не сам вирус. есть скриншот
симптомы вируса:
1. на диске С и в system32 файлы "набор символов".exe (xpwpers.exe zywpers.exe hexwpers.exe)
2. появились новые пользователи с правами админа и без, с различными именами
много перезагрузок не могу сделать. Сервер работает круглосуточно. hijackthis.log
virusinfo_syscheck.zip
virus.png
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Zderciuc, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 39
-
Пределайте лог AVZ не из терминальной сессии.
А лучше Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. Ей можно и из терминальной сессии.
-
-
Junior Member
- Вес репутации
- 39
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delref %SystemRoot%\IME\CV.EXE
delref sethc.exe
delref %Sys32%\CHINA.PSD
delref %Sys32%\NTSD.PSD
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2545381
delref HTTP://WWW2.DELTA-SEARCH.COM/?BABSRC=HP_SS&MNTRID=D8180026B933E397&AFFID=122471&TSP=4988
delref %SystemRoot%\IME\CV.EXE
adddir %Sys32%
adddir %SystemRoot%\IME
adddir c:\
crimg
Будет создан новый полный образ автозапуска uVS, загрузите его на rghost.ru и дайте ссылку в теме.
Похоже ломают сервер удалённо. Смените админские пароли, убейте левые учётки. Один из вероятных путей проникновения - через уязвимости MS SQL Server. Смените на нём пароли, установите пакет обновления 4 RTM для Microsoft SQL Server 2005.
Закройте на брандмауэре ненужные снаружи сервисы.
-