Показано с 1 по 12 из 12.

Сервер "при смерти" (заявка № 42588)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2009
    Сообщений
    8
    Вес репутации
    29

    Exclamation Сервер "при смерти"

    Доброго времени суток, уважаемые хелперы. У меня важная и надоевшая проблема. На работе локальная сеть, есть сервер (Ms Server 2003), к которому подведен интернет. На сервере подлючение по локальной сети и интернет, который выложен в общий доступ. Так же присутствуют вирусы. Сколько не пытался, все вылечить не удавалось. Самое мерзкое, что через 15 мин после начала работы доступ сети к интернету слетает и лечится только перезагрузкой - работать контора не может. В автозагрузке пара вирусов, которые удалить не получается. Симптомы:
    1) Выводит сообщение при входе в систему "Редактирование реестра запрещено администратором"
    2) Жалуется, что не удается запустить /system32/drivers/DerScr
    3) Nod все время ловит на вставленной флешке вирус, созданный приложением C:\WINDOWS\system32\drivers\DrsCh.exe. Такого там не видно.
    4) еще вагон и маленькая тележка различных ошибок и тормозов
    Много раз сканировал Nod ом, AVZ также сканировал DrWeb, фиксил в Hijack. Каждый раз много вычищал, но какаято рыбешка покрупнее все заражает по новой и автозагрузку перекраивает.
    Помогите советом, в какой последовательности чистить, чтобы это уже прекратилось... Какие скрипты выполнять?
    Огромное спасибо за ваши труды и ваш сайт.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для начала попробуем вот так:
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\RECYCLER\S-53-4-22-3434476501-1644491937-600003330-1213\DrsCh.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system\msile.exe','');
     SetServiceStart('msile', 4);
     DeleteService('msile');
     QuarantineFile('C:\WINDOWS\system32\drivers\DrsCh.exe','');
     DeleteService('DrsCh Controler');
     QuarantineFile('c:\windows\system\svhost.exe','');
     QuarantineFile('c:\windows\system\msile.exe','');
     DeleteFile('c:\windows\system\msile.exe');
     DeleteFile('c:\windows\system\svhost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\DrsCh.exe');
     DeleteFile('C:\WINDOWS\system\msile.exe');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\RECYCLER\S-53-4-22-3434476501-1644491937-600003330-1213\DrsCh.exe');
    BC_ImportAll;
    ExecuteRepair(6);
    ExecuteRepair(16);
    ExecuteRepair(17);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2009
    Сообщений
    8
    Вес репутации
    29
    Продолжение баталии. Выполнил скрипт. Сделал логи. После скрипта стали отображаться флешки - уже что-то из вирусов мертво. Теперь еще вопрос: при входе пользователя в систему (напоминаю, что ОС - Windows Server 2003) с другого компьютера или с сервера, выводится сообщение: "Редактирование реестра запрещено администратором системы". В диспетчере задач прописывается как "regedit.exe" . Таких процессов может быть сколько и кол-во входов пользователей. Попрежнему антивирус ловит различные вирусы на флешке, сразу же после создания...

    Тут еще один вопрос на повестке. Эти войны не прекратятся. Дело в том, что интернет заведен на сервер (господи, прости за такое) и ип-адрес статический. Этот адрес уже засветился и при входе в инет начинается атака. Сегодня попробовал поставить Outpost Firewall Pro v4.0 - атаки блокирует, НО:
    1) начинаются проблемы с доступом в интернет
    2) начинаются проблемы с подключением компьютеров сети к серверу с помощью терминала
    3) сеть начинает работать по абсолютно не поддающимся логике принципам. То работает, то не работает.
    Настройки поставил вроде бы максимально правильно, но я не уверен, что этот Outpost Firewall Pro v4.0 корретно работает с Windows Server. Нуждаюсь в совете: какой межсетевой экран ставить на такую ОС и как настраивать?
    Загрузил карантин
    Вложения Вложения
    Последний раз редактировалось ВечныйНовичок; 01.04.2009 в 18:06.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1.Надо искать компьютер, который флешки заражает.
    2.Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\stnetlib.exe','');
     QuarantineFile('c:\techload.dll','');
     
     QuarantineFile('c:\program files\icq\gamesinf\games.exe','');
     DeleteFile('C:\Documents and Settings\Stager\WINDOWS\stnetlib.exe');
     DeleteFile('C:\WINDOWS\stnetlib.exe');
     DeleteFile('G:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Далее все повторяем (логи, отсылку нового карантина).
    Последний раз редактировалось PavelA; 27.03.2009 в 17:35.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2009
    Сообщений
    8
    Вес репутации
    29
    Скрипты выполнил. Сколько сканировал - похоже что компьютер чист.
    Единственная проблема:
    В процессе smss.exe одноименный модуль, который НЕ опознан как безопасный. О нем никакой информации. У меня нет сомнений - это вирус. Тот же Hijackthis говорит, что модуль подменен. Аналогично и с процессом services.exe.(в логах их много, так как services.exe был запущен у нескольких пользователей). Прячутся с помощью "RootKit' ов".
    Выгрузить не удается - якобы это критический процесс. Не удается даже взять карантин (AVZ пишет про ошибку при прямом чтении). Простите что пытаюсь вот так "на пальцах", без самого файла что то спросить.
    Как мне от него избавиться? Где взять нормальный модуль? И как хотя бы для начала сделать для вас карантин?

    Вот новые логи и запрошенный карантин:
    Карантин закачал через "http://virusinfo.info/upload_virus.php?tid=42588"
    Вложения Вложения
    Последний раз редактировалось ВечныйНовичок; 01.04.2009 в 13:44.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
     DeleteService('sysdrv32');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('C:\WINDOWS\system\services.exe','');
     QuarantineFile('c:\program files\gendalf\Хранитель v для рабочей станции\bksrv.exe','');
     QuarantineFile('c:\windows\system32\07.scr','');
     DeleteFile('c:\windows\system32\07.scr');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    15.02.2009
    Сообщений
    8
    Вес репутации
    29
    QuarantineFile('c:\program files\gendalf\Хранитель v для рабочей станции\bksrv.exe','');
    Приложение после этого работать будет? Оно нужное.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Будет, это просто копия в карантин...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Цитата Сообщение от ВечныйНовичок Посмотреть сообщение
    Тут еще один вопрос на повестке. Эти войны не прекратятся. Дело в том, что интернет заведен на сервер (господи, прости за такое) и ип-адрес статический. Этот адрес уже засветился и при входе в инет начинается атака. Сегодня попробовал поставить Outpost Firewall Pro v4.0 - атаки блокирует, НО:
    1) начинаются проблемы с доступом в интернет
    2) начинаются проблемы с подключением компьютеров сети к серверу с помощью терминала
    3) сеть начинает работать по абсолютно не поддающимся логике принципам. То работает, то не работает.
    Настройки поставил вроде бы максимально правильно, но я не уверен, что этот Outpost Firewall Pro v4.0 конкретно работает с Windows Server. Нуждаюсь в совете: какой межсетевой экран ставить на такую ОС и как настраивать?
    Загрузил карантин
    На сервере используйте серверные межсетевые экраны, например Kerio WinRoute, WinGate и т.д.

  11. #10
    Junior Member Репутация
    Регистрация
    15.02.2009
    Сообщений
    8
    Вес репутации
    29
    Сделал логи и карантин.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('F:\autorun.inf','');
     DeleteFile('F:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\drsch.exe - Backdoor.Win32.SdBot.ldj
      2. c:\windows\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ezt ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )


  • Уважаемый(ая) ВечныйНовичок, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 6
      Последнее сообщение: 20.05.2010, 17:07
    3. Ответов: 1
      Последнее сообщение: 16.02.2010, 00:07
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01642 seconds with 24 queries