-
Junior Member
- Вес репутации
- 61
Вирус в \system32\x
Посмотрите, пожалуйста, логи... (операционка Windows 2003 Server)
Несколько раз в день NOD отлавливает файл "x", появляющийся в папке \system32.
Плюс к этому, в папке \Documents and Settings\LocalService\Local Settings\Temporary Internet Files
появляются огромное кол-во зараженных файлов *.jpg и *.bmp.
Заранее благодарен.
Последний раз редактировалось Grower; 26.10.2009 в 14:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
ай-яй,уже не первый раз на форуме
AVZ запущен из терминальной сессии (RDP-Tcp#32)
надо переделать логи под локальным админом.(нод отлючить пред запуском авз)
A что это в автозагрузке: C:\WINDOWS\msmacro64.exe ? Похоже на бяку =)
уж пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 61
Ээээ... Дико извиняюсь, но немного не понял... Косяк из-за подключения по терминалу, или из-за того, что я вошёл в систему как админ домена?
Если из-за терминала, то к этому серваку я больше никак подключиться не могу. Ну, может Radmin попробую поставить...
А если надо войти обязательно под локальным админом, то тоже не могу, т.к. это контроллер домена.
Что делать?
Добавлено через 4 минуты
PS msmacro64.exe - если бяка, то давайте её удалим...
Последний раз редактировалось Grower; 12.07.2009 в 23:13.
Причина: Добавлено
-
Войти надо локально, а не в терминале. Под администратором домена, раз других нет
-
-
зачем сразу удалять? надо вначале копию получить, удостовериться и только затем.
-
-
Junior Member
- Вес репутации
- 61
Вот логи, сделанные с помощью Radmin'a:
Последний раз редактировалось Grower; 26.10.2009 в 14:03.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
DeleteFile('C:\WINDOWS\msmacro64.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Карантин выслал.
---------------
Файл сохранён как 090714_231150_virus_4a5cd876768b9.zip
Размер файла 580
MD5 f4d29072ac5a8ad040e552f879baadf2
---------------
Большое Вам спасибо!
-
Зловред в карантин не пошел
Сообщение от
thyrex
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Добрый день. Извиняюсь за задержку...
Вот новые логи. Проблема осталась.
Последний раз редактировалось Grower; 26.10.2009 в 14:03.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Уже 2 раза сканировал gmer'om. Оба раза комп перегружается почти в конце сканирования (идёт сканирование папки "Мои документы").
Что можно сделать? Можно остановить сканирование и сделать лог? Этого будет достаточно?
Последний раз редактировалось Grower; 15.07.2009 в 16:03.
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Grower; 26.10.2009 в 14:03.
-
В логе чисто.
Обновления для системы все стоят? Особенно те, что против Кидо...
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Эээ... Наверное не все. А можно эти обновления отдельно скачать и установить?
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-