Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помощь в лечении сервера от вирусов (заявка № 29805)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31

    Помощь в лечении сервера от вирусов

    Ситуация слудующая....Есть сервер с базами данных, на который по неизвестной причине пролез вирус и заразил многие exe-файлы(в том числе ситемные)...Плюс ещё обнаружилось куча троянов...В результате загрузить сервер в нормальном режиме не возможно...выкидывает синий экран и перезагрузка. Работает только safe mode...при проверке Dr.Web CureIt определяет инифицированные файлы как модификацией Win32.Virut.35, при проверке Kaspersky VRT определяет как новая угроза Type_Win32 (модификация). Помогите избавится от этого вируса.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    Скачайте АВЗ по новой, обновите базы , отключите системное восстановление, повторите 3 лога.

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    При сохранении AVZ на компьютере, после запуска скрипта проверки пишет что файл изменён...открыл через сетевую папку(на которой только права чтения), проверил нормально, но не сохранил отчёт(так как прав нет). Сохранить смог только протокол.... в тхт файл. Как быть?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Сделайте логи в нем, базы обновлять не нужно.
    http://freenet-homepage.de/rene-gad/AVZ/RSIT.zip Скачайте, распакуйте в папку c:\rsit, запустите файл, нажмите Continue, файл log.txt из этой папки прикрепите вместе с логами АВЗ.

  6. #5
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    АВЗ логи прошли нормально, а вот RIST выдаёт ошибку: Line -1: Error: Variable used wihtout being declared.

    Исправляюсь: RSIT лог всё таки создал. Выкладываю
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 09.09.2008 в 12:11.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\Program Files\EStaff_Server\xHttp.exe','');
     QuarantineFile('C:\WINDOWS\system\1sass.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\epsdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\LLSVRUTT.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rstpqvrn.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\uljkb.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\uqvkrvro.sys','');
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteService('help wods web');
     DeleteService('epsdrv');
     DeleteService('LLSVRUTT');
     DeleteService('rstpqvrn');
     DeleteService('uljkb');
     DeleteService('uqvkrvro');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\blphc5n5j0el0e.scr');
     DeleteFile('C:\WINDOWS\system32\drivers\uqvkrvro.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\uljkb.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\rstpqvrn.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\LLSVRUTT.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\epsdrv.sys');
     DeleteFile('C:\WINDOWS\system\1sass.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('help wods web');
     BC_DeleteSvc('epsdrv');
     BC_DeleteSvc('LLSVRUTT');
     BC_DeleteSvc('rstpqvrn');
     BC_DeleteSvc('uljkb');
     BC_DeleteSvc('uqvkrvro');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи в нормальном режиме нормальным АВЗ с обнобленными базами по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Всё сделал. Карантин выслал.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Выполните пункт 2 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Dr.Web Cureit ругается практически на все .exe файлы Win32.Virut.39. В дополнение: все проверки провожу в безопасном режиме, так как в нормалном не грузится (выдавал синий экран, щас перезагружается)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    пункт 2 и нужно выполнять в безопасном.

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Данный вами скрипт помог....удалось в нормальном режиме запустить сервер и излечить с помощью Dr.Web CureIt излечить все .exe файлы от вируса Win32.Virut.39. Но подозрения что на сервере присутствуей какой-то вирус или троян есть...Например скока не меняй в настройках Internet Explorer домашнюю страницу, при перезагрузке всё равно ставится свой сайт...Я сомневаюсь в пару файлах:tfY3Zd.dll,zswbf.sys,tfy3zd.dll...Логи выкладываю
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\RunOnce: [rAji] %systemroot%\system32\rundll32.exe %systemroot%\system32\tfY3Zd.dll,DllRegisterServer
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\Systemdao.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\Systemdao.exe','');
     QuarantineFile('C:\WINDOWS\ime\winupgrade.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\zswbf.sys','');
     DeleteService('usbmouseb');
     DeleteService('Wingms');
     DeleteService('winfirewall');
     DeleteFile('C:\WINDOWS\system32\Drivers\zswbf.sys');
     DeleteFile('C:\WINDOWS\ime\winupgrade.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\Systemdao.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\Systemdao.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('usbmouseb');
     BC_DeleteSvc('Wingms');
     BC_DeleteSvc('winfirewall');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Всё сделал.Логи выкладываю...Пофиксить запись в реестре не удалось, после перезагрузки всё вернудлось на свои места
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\RunOnce: [rAji] %systemroot%\system32\rundll32.exe %systemroot%\system32\tfY3Zd.dll,DllRegisterServer
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\WINDOWS\system32\Drivers\zswbf.sys','');
     QuarantineFile('C:\WINDOWS\system32\tfY3Zd.dll','');
     DeleteFile('C:\WINDOWS\system32\tfY3Zd.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\zswbf.sys');
    BC_ImportAll;
    ExecuteSysClean; 
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Пофиксил. Скрипт выполнил. Карантин выложил. Но после перезагрузки всё возращается на свои места. Может сделать в ручную?
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. Активировать AVZPM (главное меню АВЗ)
    4. Перегрузить систему
    5. Сделать все логи по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Запись удалил в ручную через AVZ (поиском данных в реестре). Файлы удалил загрузившись с СD-Операционки. Помогло(ключь перестал появлятся, и страничка в Internet Explorer нормолизовалась. Едиственное что смущает: Эвристичеcкая проверка системы (?Отладчики процессов?) и Подмена PID. Что это? И нужно ли исправлять?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Sobolek Посмотреть сообщение
    Эвристичеcкая проверка системы (?Отладчики процессов?) и Подмена PID. Что это? И нужно ли исправлять?
    Вот это меня тоже беспокоит. Вы AVZPM включали, когда логи делали?

  20. #19
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    31
    Да...при включённом.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Sobolek Посмотреть сообщение
    Да...при включённом.
    Я выпал немного - это же у Вас сервер: АВЗ там не совсем так показывает, как на станции
    Если видимых проблем нет, то нужно просто понаблюдать машину, в логах все ОК.

  • Уважаемый(ая) Sobolek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помощь в лечении
      От Леонидович в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.08.2010, 23:20
    2. Помощь в лечении
      От reniks в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2010, 07:27
    3. Нужна помощь в лечении...
      От gorex в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:42
    4. Помощь в лечении
      От morozco в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.11.2008, 11:28
    5. нужна помощь в лечении
      От Angelisk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.11.2008, 23:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00132 seconds with 20 queries