Здравствуйте. У нас в офисе поставил недавно Windows Server 2003. Попытался поставить Касперского 7.0 на что был дан ответ что он не соответствует этой операционной ситеме. Пока искал KAV для серверной версии в интернете, нахватал вирусов. Началось все с того что при загрузке появлялось вем известное окно с просьзьбой отослать смс для разблокировки системы. Эту пролему легко нашел и вылечил Dr. Web CureIt, затем другое всплывающее окно с какой-то рекламой, Dr. Web CureIt ее тоже победил, затем наконец был утановлен KAV, он тоже нашел несколько файлов в том числе и те кот. Dr. Web CureIt запихал в карантин и благополучно удалил. Вроди я вздохнул спокойно. Сегодня утром при попытке запуска Explorer или Fierfox вылазиет окошко, но уже не с рекламой, а с откровенной (изиняюь) порнухой! KAV и Dr. Web CureIt ничего не находят. Еще что примечательно, вирус каждый раз старательно подменяет файл C:\Windows\systm32\drivers\ets\hosts поле чего ни один сайт с анитивирусами (в том числе и ваш) не грузятся.Помогите!Еще добавлю что вирус отключил сначала просмотр реестра rgedit.exe, а сегодня фиспечер задач стал неактивным
Последний раз редактировалось 1C8; 01.10.2009 в 06:19.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Где в Windows Server 2003 отключить "восстановление системы" я не нашел, хотя в ХР часто этим пользовался. Скрипт выполнил, файл C:\quarantine.zip ВРОДИ отослал. Просто т.к. я не могу запустить IE или Fierfox, в интернет приходится выходить через обычный "Мой компьютер", т.е. адресс вашегосайта ввожу в поле "адрес"в "Мой компьютер", после этогоокошко превращается в окно IE, но если нажать на любую внешнюю ссылку которая открывается в новом окне, то вместо этого открывается окошко с непристойным содержанием выше описаным. Выщел из ситуации тем, что открыл еще один "мой компьютер" и скопировал вашу ссылку для загрузки фала. Файл 13М загружался минут 5, шел бегунок с загрузкой, как только дошел до конца, как будто завис. Я подождал еще 5 минут и закрыл окно. Напишите если файл не отправился...попробую еще раз.
Все логи зделал по новой.
Алилуя!
Первое что заметил, так это файл hosts небыл заменен при перезагрузке вирусным...но голые бабы остались...пофикил O20 - AppInit_DLLs: driversnt.dll, бабы исчезли...наконец-то могу работать с fierfox-ом!
Карантин выслал, лог обновил.
извиняюсь, но пока не могу перезагрузится, комп занят удаленными пользователями. А пока я заметил что файла C:\WINDOWS\system32\XNvWtH.dll не существует, зато есть похожий xKXeAv.dll И еще я заметил, что на удаленных машинах работающих в терминальном режиме с удаленным рабочим столом, постоянно выскакивает ошибка запуска какой-то библиотеки с объяснением что это не приложение win32. Причем dll-ки каждый разразные,и все они складируютя вот по этому пути C:\Documents and Settings\юзер\Local Settings\Temp\3 и все они 0-вого размера. Вот некоторые из них aVZbd.dll iwzAq.dll BANRR.dll CdSzw.dll dfJga.dll iPApr.dll и таких порядка 20 шт.
Добавлено через 6 минут
И еще, только что просмотрел каталог system32 оказывается там таких похожих dll-ек тооже много
Последний раз редактировалось 1C8; 02.10.2009 в 06:44.
Причина: Добавлено
через 5 мин. выполню скрипт, а пока вот еще чтомогу добавить...в system32 таких файлов 21 штука, все они созданы 04.11.06 хотя операционка ставилась 5 дней назад! Все они имею размер 233472 б. может быть их всех прибить ручками в FAR-е?
Аминь блин! Вроди все работает! Спс огромное!
Лог приложил.
Давайте теперь устроим разбор полетов:
Что это было? Честно говоря первый раз вижу что вирус есть а KAV его не находит!
И еще каким средством посоветуете пользоваться для защиты компьютера? На ХР я благополучно пользовался KIS, для сервера как-то KIS я не нашел...только KAV, встречали ли вы где-нить KIS для сереров?
В логах активной заразы не увидела. Сейчас скачайте свежий CureIt и сделайте полную проверку компьютера. Все что найдет - удаляйте! Это уже мусор. После еще раз все проверьте и отпишитесь в теме. Я буду на форуме до обеда. Можете также писать в джабер или воспользоваться лс.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) 1C8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: