Сервер "при смерти"

[ВечныйНовичок]

Доброго времени суток, уважаемые хелперы. У меня важная и надоевшая проблема. На работе локальная сеть, есть сервер (Ms Server 2003), к которому подведен интернет. На сервере подлючение по локальной сети и интернет, который выложен в общий доступ. Так же присутствуют вирусы. Сколько не пытался, все вылечить не удавалось. Самое мерзкое, что через 15 мин после начала работы доступ сети к интернету слетает и лечится только перезагрузкой - работать контора не может. В автозагрузке пара вирусов, которые удалить не получается. Симптомы:
1) Выводит сообщение при входе в систему "Редактирование реестра запрещено администратором"
2) Жалуется, что не удается запустить /system32/drivers/DerScr
3) Nod все время ловит на вставленной флешке вирус, созданный приложением C:\WINDOWS\system32\drivers\DrsCh.exe. Такого там не видно.
4) еще вагон и маленькая тележка различных ошибок и тормозов
Много раз сканировал Nod ом, AVZ также сканировал DrWeb, фиксил в Hijack. Каждый раз много вычищал, но какаято рыбешка покрупнее все заражает по новой и автозагрузку перекраивает.
Помогите советом, в какой последовательности чистить, чтобы это уже прекратилось... Какие скрипты выполнять?
Огромное спасибо за ваши труды и ваш сайт.

[PavelA]

Для начала попробуем вот так:
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('F:\RECYCLER\S-53-4-22-3434476501-1644491937-600003330-1213\DrsCh.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 SetServiceStart('msile', 4);
 DeleteService('msile');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrsCh.exe','');
 DeleteService('DrsCh Controler');
 QuarantineFile('c:\windows\system\svhost.exe','');
 QuarantineFile('c:\windows\system\msile.exe','');
 DeleteFile('c:\windows\system\msile.exe');
 DeleteFile('c:\windows\system\svhost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\DrsCh.exe');
 DeleteFile('C:\WINDOWS\system\msile.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\RECYCLER\S-53-4-22-3434476501-1644491937-600003330-1213\DrsCh.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588

[ВечныйНовичок]

Продолжение баталии. Выполнил скрипт. Сделал логи. После скрипта стали отображаться флешки - уже что-то из вирусов мертво. Теперь еще вопрос: при входе пользователя в систему (напоминаю, что ОС - Windows Server 2003) с другого компьютера или с сервера, выводится сообщение: "Редактирование реестра запрещено администратором системы". В диспетчере задач прописывается как "regedit.exe" . Таких процессов может быть сколько и кол-во входов пользователей. Попрежнему антивирус ловит различные вирусы на флешке, сразу же после создания...

Тут еще один вопрос на повестке. Эти войны не прекратятся. Дело в том, что интернет заведен на сервер (господи, прости за такое) и ип-адрес статический. Этот адрес уже засветился и при входе в инет начинается атака. Сегодня попробовал поставить Outpost Firewall Pro v4.0 - атаки блокирует, НО:
1) начинаются проблемы с доступом в интернет
2) начинаются проблемы с подключением компьютеров сети к серверу с помощью терминала
3) сеть начинает работать по абсолютно не поддающимся логике принципам. То работает, то не работает.
Настройки поставил вроде бы максимально правильно, но я не уверен, что этот Outpost Firewall Pro v4.0 корретно работает с Windows Server. Нуждаюсь в совете: какой межсетевой экран ставить на такую ОС и как настраивать?
Загрузил карантин

[PavelA]

1.Надо искать компьютер, который флешки заражает.
2.Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\stnetlib.exe','');
 QuarantineFile('c:\techload.dll','');
 
 QuarantineFile('c:\program files\icq\gamesinf\games.exe','');
 DeleteFile('C:\Documents and Settings\Stager\WINDOWS\stnetlib.exe');
 DeleteFile('C:\WINDOWS\stnetlib.exe');
 DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Далее все повторяем (логи, отсылку нового карантина).

[ВечныйНовичок]

Скрипты выполнил. Сколько сканировал - похоже что компьютер чист.
Единственная проблема:
В процессе smss.exe одноименный модуль, который НЕ опознан как безопасный. О нем никакой информации. У меня нет сомнений - это вирус. Тот же Hijackthis говорит, что модуль подменен. Аналогично и с процессом services.exe.(в логах их много, так как services.exe был запущен у нескольких пользователей). Прячутся с помощью "RootKit' ов".
Выгрузить не удается - якобы это критический процесс. Не удается даже взять карантин (AVZ пишет про ошибку при прямом чтении). Простите что пытаюсь вот так "на пальцах", без самого файла что то спросить.
Как мне от него избавиться? Где взять нормальный модуль? И как хотя бы для начала сделать для вас карантин?

Вот новые логи и запрошенный карантин:
Карантин закачал через "http://virusinfo.info/upload_virus.php?tid=42588"

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 DeleteService('sysdrv32');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('C:\WINDOWS\system\services.exe','');
 QuarantineFile('c:\program files\gendalf\Хранитель v для рабочей станции\bksrv.exe','');
 QuarantineFile('c:\windows\system32\07.scr','');
 DeleteFile('c:\windows\system32\07.scr');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588

[ВечныйНовичок]

QuarantineFile('c:\program files\gendalf\Хранитель v для рабочей станции\bksrv.exe','');
Приложение после этого работать будет? Оно нужное.

[Гриша]

Будет, это просто копия в карантин...

[Alex_Goodwin]

Тут еще один вопрос на повестке. Эти войны не прекратятся. Дело в том, что интернет заведен на сервер (господи, прости за такое) и ип-адрес статический. Этот адрес уже засветился и при входе в инет начинается атака. Сегодня попробовал поставить Outpost Firewall Pro v4.0 - атаки блокирует, НО:
1) начинаются проблемы с доступом в интернет
2) начинаются проблемы с подключением компьютеров сети к серверу с помощью терминала
3) сеть начинает работать по абсолютно не поддающимся логике принципам. То работает, то не работает.
Настройки поставил вроде бы максимально правильно, но я не уверен, что этот Outpost Firewall Pro v4.0 конкретно работает с Windows Server. Нуждаюсь в совете: какой межсетевой экран ставить на такую ОС и как настраивать?
Загрузил карантин

На сервере используйте серверные межсетевые экраны, например Kerio WinRoute, WinGate и т.д.

[ВечныйНовичок]

Сделал логи и карантин.

[Rene-gad]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42588

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 31
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\drsch.exe - Backdoor.Win32.SdBot.ldj
  2. c:\windows\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ezt ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )