Здравствуйте!
Последнее время начал тормозить сервак цштвщцы
Здравствуйте!
Последнее время начал тормозить сервак цштвщцы
Ого, вот это скорость ответа на сообщения
Сорри, случайно раньше времени нажал "отправить", а пока ждал активации аккаунта вы уже и ответили.
Вот логи, посмотрите, плиз, может есть что-нибудь лишнее в системе.
Давайте попробуем так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
После выполнения скрипта, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=19073 , как написано в прил.3 правилКод:begin QuarantineFile('c:\windows\system32\drivers\symavc32.sys',''); QuarantineFile('W:\SysProfiles\alex\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe',''); end.
Повторить логи не из терминальной сессии есть возможность? Если есть, скачайте версию 2.02 Hijackthis по ссылке из правил и повторите логи, начиная с п. 10 правил, запустив утилиты из локального сеанса. И еще вопрос: перезагрузку данной машины в процессе выполнения скриптов вы можете делать?
Файл сохранён как 080304_005655_virus_47ccf2b750869.zip
Размер файла 296006
MD5 6dd5c6fc23ef27191fb018cf16062dd3
в карантине только winlogon.exe, на остальные фалы AVZ выдает ошибку:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe)
Карантин с использованием прямого чтения - ошибка
Сейчас могу зайти на сервер локально - новый лог hijackthis приложил.
Перезагружать сервер нежелательно, но если очень нужно то после 19-00 можно.
лог AVZ не из терминала
Выполните:
Но компьютер перегрузится... выберите время для этого...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\\drivers\symavc32.sys'); DeleteFile('w:\windows\system32\drivers\symavc32.sys'); BC_ImportDeletedList; BC_DeleteSvc('symavc32'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Затем повторите логи
Свежие логи.
При создании этих логов AVZ поместил в карантин файлы appmg.dll и certpde.dll, которые вы просили раньше - прислать их?
что хотели убить убили .... файлы конечно пришлите ....
ок, выслал
Результат загрузкиФайл сохранён как 080305_003410_virus_47ce3ee297bf3.zip
Размер файла 164861
MD5 e479dd7fbe7f41abbcfa023960ba1c22
Файл закачан, спасибо!
C:\WINDOWS\system32\appmg.dll -Trojan.Win32.Pakes.cdw
C:\WINDOWS\system32\certpde.dll Trojan.Win32.Pakes.cdw
выполните скрипт ...компьютер перегрузится ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\certpde.dll'); DeleteFile('C:\WINDOWS\system32\appmg.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\appmg.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.49366)
- c:\\windows\\system32\\certpde.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.49366)
Уважаемый(ая) tyc00n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.