-
Junior Member
- Вес репутации
- 59
Спасите компьютер от вирусов
Спасите компьютер от вирусов
На сервере найден вредоносный файл reader_s.exe, его удалить удалось, но комп не запускает большинство сервисов, в частности блокирована работа с локальной сетью
Закачал карантин
Файл сохранён как 090211_122039_virusinfo_cure_49929867a5c42.zip
Размер файла 134685
MD5 ab3bf6cb7667457aea2b33000528a20b
Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
reader_sl.exe- это от Adobe Reader...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\RDPWD.SYS','');
QuarantineFile('C:\Documents and Settings\d.korchagin\driver.sys','');
DelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
BC_QrSvc('botdrv');
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
reader_s.exe без буквы L, при поиске по инету новый вирь типа trojan.win32.invader или как-то так
файл №1 в присланом выше карантине syscure.zip
SystemRoot\System32\Drivers\RDPWD.SYS - драйвер подписаный майкрософтом, видимо заражен
Последний раз редактировалось Mr_Kiss; 11.02.2009 в 12:43.
-
Делайте скрипт, затем новые логи...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.
-
Junior Member
- Вес репутации
- 59
Файл сохранён как 090211_131025_virusinfo_cure_4992a41124a70.zip
Размер файла 337995
MD5 2549c9ceb9fc96e2389074f79dea0b5f
-
RDPWD.SYS-это нормальный файл..
Пришлите этот файл driver.sys согласно приложению 2 правил...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
Пришлите этот файл driver.sys согласно приложению 2 правил...
Не могу прислать карантин, так как AVZ дает ошибку
при поиске файловыми менеджерами, этого файла нет
есть записи в реестре...
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('botdrv');
DeleteFile('C:\Documents and Settings\d.korchagin\driver.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('botdrv');
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 59
мне очень не нравится такая подозрительная старока в логе
C:\Documents and Settings\d.korchagin\WINDOWS\system32\smss.exe Подозрение на RootKit
Насколько это нормально ?
Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.
-
Это нормально для серверной ОС, в логе чисто...
-
-
Junior Member
- Вес репутации
- 59
Что чисто это хорошо, но какая сволочь не зает зарускать сервис WorkStation...
-
-
-
Junior Member
- Вес репутации
- 59
KidoKiller ничего не нашел...
-
В system32\drivers посмотрите файл ndis.sys. Если такой окажется - пришлите согласно правилам. Если такого не будет - нужно будет восстановить его с диска установки ОС.
-
-
Junior Member
- Вес репутации
- 59
Файл отсутствует...
версия винды 5.2.3790 при подсовывании файла ndis.sys такой же версии, сервис workstation запускается до перезагрузки, после этого винда уходит в постоянный ребут
на форуме была ссылка на файл версии 5.1.2600 но эффект тот же...
-
При загрузке windows нажмите F8 и выберите "отключить автоматическую перезагрузку при отказе системы". Затем, как система упадет в BSOD будет создан минидамп (%SystemRoot%\Minidump) - его прикрепите к теме в архиве.
Также попробуйте загрузится с последней удачной конфигурации или в безопасном режиме. BSOD также наблюдается?
-
-
Junior Member
- Вес репутации
- 59
Спасибо уже всё решили, после накатывания поверх Win2003 с SP2 начали работать большая часть сервисов, но остались проблемы с NetLogon
после ресета TCP/IP и WinSocks проблемы ушли
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\jgnlib.dll - Trojan-Ransom.Win32.Hexzone.agg
- c:\windows\services.exe - Email-Worm.Win32.Joleee.gq (DrWEB: Trojan.Spambot.3531)
- c:\windows\system32\reader_s.exe - Trojan-Downloader.Win32.FraudLoad.dlv (DrWEB: Trojan.Packed.2352)
-