Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помощь в лечении сервера от вирусов (заявка № 29805)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57

    Помощь в лечении сервера от вирусов

    Ситуация слудующая....Есть сервер с базами данных, на который по неизвестной причине пролез вирус и заразил многие exe-файлы(в том числе ситемные)...Плюс ещё обнаружилось куча троянов...В результате загрузить сервер в нормальном режиме не возможно...выкидывает синий экран и перезагрузка. Работает только safe mode...при проверке Dr.Web CureIt определяет инифицированные файлы как модификацией Win32.Virut.35, при проверке Kaspersky VRT определяет как новая угроза Type_Win32 (модификация). Помогите избавится от этого вируса.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    Скачайте АВЗ по новой, обновите базы , отключите системное восстановление, повторите 3 лога.

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    При сохранении AVZ на компьютере, после запуска скрипта проверки пишет что файл изменён...открыл через сетевую папку(на которой только права чтения), проверил нормально, но не сохранил отчёт(так как прав нет). Сохранить смог только протокол.... в тхт файл. Как быть?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
    Сделайте логи в нем, базы обновлять не нужно.
    http://freenet-homepage.de/rene-gad/AVZ/RSIT.zip Скачайте, распакуйте в папку c:\rsit, запустите файл, нажмите Continue, файл log.txt из этой папки прикрепите вместе с логами АВЗ.

  6. #5
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    АВЗ логи прошли нормально, а вот RIST выдаёт ошибку: Line -1: Error: Variable used wihtout being declared.

    Исправляюсь: RSIT лог всё таки создал. Выкладываю
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 09.09.2008 в 12:11.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
     QuarantineFile('C:\Program Files\EStaff_Server\xHttp.exe','');
     QuarantineFile('C:\WINDOWS\system\1sass.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\epsdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\LLSVRUTT.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rstpqvrn.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\uljkb.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\uqvkrvro.sys','');
     QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteService('help wods web');
     DeleteService('epsdrv');
     DeleteService('LLSVRUTT');
     DeleteService('rstpqvrn');
     DeleteService('uljkb');
     DeleteService('uqvkrvro');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\blphc5n5j0el0e.scr');
     DeleteFile('C:\WINDOWS\system32\drivers\uqvkrvro.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\uljkb.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\rstpqvrn.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\LLSVRUTT.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\epsdrv.sys');
     DeleteFile('C:\WINDOWS\system\1sass.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('help wods web');
     BC_DeleteSvc('epsdrv');
     BC_DeleteSvc('LLSVRUTT');
     BC_DeleteSvc('rstpqvrn');
     BC_DeleteSvc('uljkb');
     BC_DeleteSvc('uqvkrvro');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи в нормальном режиме нормальным АВЗ с обнобленными базами по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Всё сделал. Карантин выслал.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните пункт 2 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Dr.Web Cureit ругается практически на все .exe файлы Win32.Virut.39. В дополнение: все проверки провожу в безопасном режиме, так как в нормалном не грузится (выдавал синий экран, щас перезагружается)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    пункт 2 и нужно выполнять в безопасном.

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Данный вами скрипт помог....удалось в нормальном режиме запустить сервер и излечить с помощью Dr.Web CureIt излечить все .exe файлы от вируса Win32.Virut.39. Но подозрения что на сервере присутствуей какой-то вирус или троян есть...Например скока не меняй в настройках Internet Explorer домашнюю страницу, при перезагрузке всё равно ставится свой сайт...Я сомневаюсь в пару файлах:tfY3Zd.dll,zswbf.sys,tfy3zd.dll...Логи выкладываю
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\RunOnce: [rAji] %systemroot%\system32\rundll32.exe %systemroot%\system32\tfY3Zd.dll,DllRegisterServer
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\Systemdao.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\Systemdao.exe','');
     QuarantineFile('C:\WINDOWS\ime\winupgrade.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\zswbf.sys','');
     DeleteService('usbmouseb');
     DeleteService('Wingms');
     DeleteService('winfirewall');
     DeleteFile('C:\WINDOWS\system32\Drivers\zswbf.sys');
     DeleteFile('C:\WINDOWS\ime\winupgrade.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\Systemdao.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\Systemdao.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('usbmouseb');
     BC_DeleteSvc('Wingms');
     BC_DeleteSvc('winfirewall');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Всё сделал.Логи выкладываю...Пофиксить запись в реестре не удалось, после перезагрузки всё вернудлось на свои места
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\RunOnce: [rAji] %systemroot%\system32\rundll32.exe %systemroot%\system32\tfY3Zd.dll,DllRegisterServer
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\WINDOWS\system32\Drivers\zswbf.sys','');
     QuarantineFile('C:\WINDOWS\system32\tfY3Zd.dll','');
     DeleteFile('C:\WINDOWS\system32\tfY3Zd.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\zswbf.sys');
    BC_ImportAll;
    ExecuteSysClean; 
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  16. #15
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Пофиксил. Скрипт выполнил. Карантин выложил. Но после перезагрузки всё возращается на свои места. Может сделать в ручную?
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. Активировать AVZPM (главное меню АВЗ)
    4. Перегрузить систему
    5. Сделать все логи по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Запись удалил в ручную через AVZ (поиском данных в реестре). Файлы удалил загрузившись с СD-Операционки. Помогло(ключь перестал появлятся, и страничка в Internet Explorer нормолизовалась. Едиственное что смущает: Эвристичеcкая проверка системы (?Отладчики процессов?) и Подмена PID. Что это? И нужно ли исправлять?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Sobolek Посмотреть сообщение
    Эвристичеcкая проверка системы (?Отладчики процессов?) и Подмена PID. Что это? И нужно ли исправлять?
    Вот это меня тоже беспокоит. Вы AVZPM включали, когда логи делали?

  20. #19
    Junior Member Репутация
    Регистрация
    08.09.2008
    Сообщений
    13
    Вес репутации
    57
    Да...при включённом.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Sobolek Посмотреть сообщение
    Да...при включённом.
    Я выпал немного - это же у Вас сервер: АВЗ там не совсем так показывает, как на станции
    Если видимых проблем нет, то нужно просто понаблюдать машину, в логах все ОК.

  • Уважаемый(ая) Sobolek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помощь в лечении
      От Леонидович в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.08.2010, 23:20
    2. Помощь в лечении
      От reniks в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2010, 07:27
    3. Нужна помощь в лечении...
      От gorex в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:42
    4. Помощь в лечении
      От morozco в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.11.2008, 11:28
    5. нужна помощь в лечении
      От Angelisk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.11.2008, 23:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00327 seconds with 20 queries