Столкнулись с вирусом sality.win32.sector12 не можем победить!
Начиналось все странно, перестали работать диспетчер задач, редактор реестра и другие административные апплеты, кроме того весь сервер оказался зараженным этой дрянью по имени sality.win32.sector12. Боролись с помощью свежего CureIt в безопасном режиме, после лечения ситуация повторяется, файлы логов прилагаются, ждем помощи!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
http://virusinfo.info/showthread.php?t=15927 и это на всех машинах в сети .... подключая по очереди после лечения
Live cd от доктора веба не подойдет, он при загрузке не видит scsi винтыСообщение от V_Bond
сам больной лечиться в безопасном режиме,но это проблемы не решает, вирусы появляются снова
значит снимаем винты и цепляем к здоровой машине ....
Это не вариант, напоминаю винты scsi, соответствующие контроллеры есть только на сервере
Нет возможности что либо устанавливать, вторые сутки боремся, проверяли из безопасного режима с помощью CureIt, система временно становится работоспособной, но стоит загрузиться в обычном режиме как система рушится тут же, вплоть до полного запрета копирования или запуска каких либо файлов
ничего устанавливать не надо - принесите на флехе или сиди утилитку салити_off , которую можно скачать по ссылке. если экзе не пашет переименуйте в pif. после прогона утилиткой - без перезагрузки проверьтесь авптул и куреит. после ребута снова прогон, ничего не запуская и отрубив все в автозапуске.
Спасибо, ваш совет оказался очень полезным, утилита оказалась просто мегаполезной :-) сервак подняли, почти все работает, но не все, в упор не видится localhost, прям беда какая то, но пока терпимо, пользователи работают, никуда не гонят, будем разбираться
Сделайте логи авз, постараемся поправить что осталось.
высылаю лог, буду рад помощи
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin QuarantineFile('C:\DOCUME~1\ADMINI~1.002\LOCALS~1\Temp\4\uninstall.bat',''); QuarantineFile('C:\WINDOWS\system32\drivers\pvnkjn.sys',''); end.
Вот что я получил в ответ, цитирую:
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1.002\LOCALS~1\Temp\4\uninstal l.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\ADMINI~1.002\LOCALS~1\Temp\4\uninstal l.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\pvnkjn.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\pvnkjn.sys)
Карантин с использованием прямого чтения - ошибка
Добавлено через 39 минут
Я так понял проблемы с сетью прежде всего из за того что воспользовались функциями AVZ по восстановлению настроек SPI/LSP
, читал в форуме что надо воспользоваться сбросом политик IP, не будет ли еще хуже после этого?
Последний раз редактировалось bshtornado; 18.12.2008 в 10:21. Причина: Добавлено
На серверной оси нельзя пользоваться AVZ для этого. Через netsh попробуйте сбросить и установить заново.Я так понял проблемы с сетью прежде всего из за того что воспользовались функциями AVZ по восстановлению настроек SPI/LSP
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После этого не работала сеть при попытке пинга выдавала
Попытка обмена данными с $я
после чего покопавшись в доках было принято решение восстановить винсоккеты средствами самой ОС, после чего упал протокол IPSec
восстановив его локальные политики заработал и он, но не пингуется компъютер как localhost, выдается ошибка: при попытке связи не удалось обнаружить узел localhost, хотя 127.0.0.1 пингуется нормально, также компъютер не пингуется по локальному имени, не открываются апплеты администрирования AD DHCP, выдаются ошибки о неработоспособности сервера, Смета не находит Sql сервер firebird, но на самом деле все работает, динамические адреса выдаются, DNS сервер отрабатывает нормально, пользователи логинятся в домен и работают, думаю все это связано с одной и той же проблемой, подскажите пожалуйста решение.
Последний раз редактировалось bshtornado; 19.12.2008 в 09:31. Причина: некоректный заголовок
Я не уверен, что вот так, с помощью хрустального шарика и танцев с бубном, удасться Вам помочь. На Вашем месте я бы поскал фирму по месту проблемы.
Уважаемый(ая) bshtornado, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
