Показано с 1 по 20 из 20.

Помогите в лечении сервака (заявка № 42135)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30

    Thumbs up Помогите в лечении сервака

    Стоит симантек, началось, что антивирус удалил файл locator.exe, якобы вирус.
    После этого скачал Cureit, он нашел несколько разных вирусов. На компе через проводник не видео папку system32.
    Просканировал Avz, логи прилагаю.
    Еще с него не выйти в интернет, хотя с остальных компов нормально все.
    Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\inf\inc\IPSec\uti.exe','');
     QuarantineFile('c:\windows\system32\drivers\cmd.exe','');
     QuarantineFile('C:\WINDOWS\system\2.bat','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys','');
     QuarantineFile('C:\Program Files\Movie Maker\wmmresi.exe','');
     QuarantineFile('C:\WINDOWS\System32\Langue.exe','');
     QuarantineFile('C:\WINDOWS\system32\svchosta.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe','');
     QuarantineFile('C:\oms\oms.exe','');
     QuarantineFile('C:\WINDOWS\system32\Com\regadmin.exe','');
     QuarantineFile('C:\WINDOWS\Locator.exe','');
     QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
     QuarantineFile('C:\WINDOWS\System32\Srivers.dll','');
     QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
     QuarantineFile('C:\WINDOWS\system32\Restore\sframer.exe','');
     QuarantineFile('C:\WINDOWS\system32\Restore\srframes.exe','');
     QuarantineFile('C:\WINDOWS\system32\Dir.exe','');
     DeleteFile('C:\WINDOWS\system32\Dir.exe');
     DeleteFile('C:\WINDOWS\Locator.exe');
     DeleteFile('C:\WINDOWS\system32\Com\regadmin.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe');
     DeleteFile('C:\WINDOWS\system32\svchosta.exe');
     DeleteFile('C:\WINDOWS\System32\Langue.exe');
     DeleteFile('C:\WINDOWS\system32\Restore\sframer.exe');
     DeleteFile('C:\WINDOWS\system32\Restore\srframes.exe');
     DeleteFile('C:\Program Files\Movie Maker\wmmresi.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys');
     DeleteFile('C:\WINDOWS\system\2.bat');
     DeleteFile('c:\windows\system32\drivers\cmd.exe');
     DeleteFile('C:\WINDOWS\inf\inc\IPSec\uti.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    2.Сделать логи снова
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    логи повторил, карантин подгрузил
    Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Выполните скрипт по возможности в безопасном режиме
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
     QuarantineFile('C:\WINDOWS\System32\Srivers.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe','');
     QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    Скрипт выполнил, при загрузке карантина, ошибка - файл уже загружен.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Srivers.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    2.Сделать логи снова
    Последний раз редактировалось Rene-gad; 21.03.2009 в 11:43. Причина: карантин не нужен.

  8. #7
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    Скрипт сделал. При загрузке карантина ошибка. Ошибка загрузки. Данный файл уже был загружен.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Сорри, не надо карантин Логи повторные сделайте.

  10. #9
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    логи повторил
    Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     StopService('Windows Management Audio');
     StopService('User Mode Driver Framework');
     StopService('yvgmaatr');
     QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe','');
     QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys');
     DeleteFile('C:\WINDOWS\system32\oobe\obeip.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\wdfmger.exe');
     DeleteService('User Mode Driver Framework');
     DeleteService('Windows Management Audio');
     DeleteService('yvgmaatr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('User Mode Driver Framework');
    BC_DeleteSvc('Windows Management Audio');
    BC_DeleteSvc('yvgmaatr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    Сделано

    Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);    
     DeleteService('yvgmaatr');
     DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('yvgmaatr');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  14. #13
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    выполнил
    Последний раз редактировалось dwolfb; 17.12.2009 в 04:12.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Скачайте IceSword , поищите и скопируйте файл:
    Код:
    C:\WINDOWS\system32\drivers\gfnpcx.sys
    Скопированный с помощью IceSword файл сохраните в карантине (Приложение 2 правил).
    Потом удалите его с помощью force delete
    Повторите скрипт Гриши и потом логи.

  16. #15
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    такого файла не оказалось.
    кстати папка систем32 скрытая и ее видно только с файлового менеджера.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от dwolfb Посмотреть сообщение
    такого файла не оказалось.
    А похожий по имени и недавний по времени создания есть?
    папка систем32 скрытая и ее видно только с файлового менеджера.
    т.е.? Вы ее из IseSword/File не видите?

  18. #17
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    последний файл по дате создания летом создан. Папку не видно если через мой компьютер идти. В IseSword/File папка есть, а файла нет.

    Еще интересная вещь. Интернета на серваке нет, хотя приходит кабель сюда первоначально, а на остальных компах в сети есть. При загрузке ругается на службу одну. Пока шло лечение, я пока не разбирался с этим, ибо возможно, что после лечения поправится. И во время лечения периодически ситуация менялась, на серваке появлялся интернет, но сеть и соответствено на остальных компах инет отрубался.

    Добавлено через 5 часов 52 минуты

    на этом все?
    Последний раз редактировалось dwolfb; 22.03.2009 в 17:40. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от dwolfb Посмотреть сообщение
    на этом все?
    Это единственный файл. который находится у нас под подозрением. Если его нет, то на нет и суда нет.

  20. #19
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    68
    Вес репутации
    30
    Понял. Помониторю его недельку. Спасибо.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\netdsdm.sys - Trojan-Downloader.Win32.Hmir.ubb
      2. c:\windows\system32\srivers.dll - Backdoor.Win32.Hupigon.glia ( BitDefender: Trojan.Generic.1447087 )


  • Уважаемый(ая) dwolfb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите в лечении!!!
      От -brad- в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.11.2010, 21:10
    2. Помогите в лечении!!!
      От -brad- в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.08.2010, 20:14
    3. Помогите в лечении
      От Шерхан в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.11.2009, 14:47
    4. помогите в лечении
      От amnonar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.01.2009, 21:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00057 seconds with 22 queries