Symantec сканирование ничего не дает, утилита DrWeb CureIT ничего не нашла. При подключение к интернету начинает чего то скачивать или отсылать
Добавлено через 9 минут
http://virusinfo.ifolder.ru/5953176
Symantec сканирование ничего не дает, утилита DrWeb CureIT ничего не нашла. При подключение к интернету начинает чего то скачивать или отсылать
Добавлено через 9 минут
http://virusinfo.ifolder.ru/5953176
Последний раз редактировалось Khedin; 31.03.2008 в 10:21. Причина: Добавлено
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Имейте в виду, что система должна быть перезагружена в процессе выполнения скрипта.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите карантин по ссылке http://virusinfo.info/upload_virus.php?tid=20701 , как написано в прил.3 правил, скачайте версию 2.02 Hijackthis по ссылке из правил и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winupd.exe'); QuarantineFile('c:\windows\system32\winupd.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('c:\windows\system32\winupd.exe'); BC_DeleteFile('c:\windows\system32\winupd.exe'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
новые логи
И еще после выполнения скрипта комп постоянно перезагружается, пришлось загрузить последнию удачную конфигурацию.
Вы лог AVZ делали уже после загрузки последней удачной конфигурации? Если да, то сейчас паразитный траффик идет?
Все работает нормально, огромное спасибо за помощь!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
c:\windows\system32\winupd.exe - троянская программа Backdoor.Win32.SdBot.dkc (по классификации Касперского). Почему спрашивал про то, когда делали лог AVZ: в логе AVZ winupd.exe не видно, в логе hijackthis остались ключи. На всякий случай, пофиксите с помощью hijackthis:Код:O4 - HKLM\..\Run: [winupd] winupd.exe O4 - HKLM\..\RunServices: [winupd] winupd.exe
Пофиксил, новые логи
Пофиксить
Больше ничего подозрительного нет.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
пофиксел, сервер перестал загружаться т.е. виндос 2003 загружается запрашивает пароль ввожу пароль начинается запуск и тут же в окошке появляется сохранения параметров как при завершение работы и заново запрашивает пароль. доступ к компу получить не получается , что делать ?
Добавлено через 11 минут
пробовали загружать в безопасном режиме и последнюю удачную конфигурацию, нечего не получилось результат тот же самый - заходит и выходит
Последний раз редактировалось Khedin; 02.04.2008 в 12:00. Причина: Добавлено
Когда сервер загрузится до диалога запроса пароля, он на пинги отвечает и сетевой доступ к нему есть ? Если да, то можно попытаться ... Если нет, то тогда загрузка с LiveCD любого типа, содержащего редактор реестра - и из него восстановить ключик, отвечающий за запуск userinit.exe:
ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в нем параметр с именем Userinit типа REG_SZ, значение C:\WINDOWS\system32\userinit.exe, (именно так, с запятой на хвосте)
Доступ к серверу есть через расшаренные папки. Как можно восстановить реестр?
На одном из компьютеров в локальной сети запустите regedit.exe от имени пользователя с правами админа на сервере.
Меню Файл-Подключить сетевой Реестр
Введите имя сервера. Подключитесь.
Исправьте соответствующий ключ, как написал Олег.
Через другой комп подключился к серверу исправил реестр, все заработало, спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winupd.exe - Backdoor.Win32.SdBot.dkc (DrWEB: BackDoor.IRC.Sdbot.3256)
Уважаемый(ая) Khedin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.