-
Junior Member
- Вес репутации
- 53
вирусы, ошибка svchost,проблеммы с интернет
Здравствуйте, на server2003 появились вирусы- он является шлюзом интернет, появляется ошибка Generic Host Process for Win32 Services. Шлюзует через UserGate 4. Антивирусом стоит Symantec AntiVirus 8.1 server.
вирусы проявляют себя созданием в system32 различных каталогов с непонятными именами в которых лежат файлы *exe. Имена файлов примерно такие E001.exe ; Также подобные файлы встречаются в Default User/Temporary Internet Files/*непонятная папка*
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\RmmrtmC.dll','');
QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\foxshell.exe','');
QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\G0NCYV085L\G001.exe','');
QuarantineFile('C:\WINDOWS\System32\AdvanceLink\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\Yfdsba.exe','');
QuarantineFile('C:\WINDOWS\system32\spool\drivers\systempro.exe','');
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
QuarantineFile('C:\WINDOWS\system32\LBUZ3VUAFK\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\LBUZ3VUAFK\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\cnzyk.exe','');
QuarantineFile('c:\windows\system32\agerunsrv.dll','');
QuarantineFile('C:\WINDOWS\feafvxx.exe','');
DeleteFile('C:\WINDOWS\feafvxx.exe');
DeleteFile('c:\windows\system32\agerunsrv.dll');
DeleteFile('C:\WINDOWS\system32\cnzyk.exe');
DeleteFile('C:\WINDOWS\system32\LBUZ3VUAFK\E001.exe');
DeleteFile('C:\WINDOWS\system32\LBUZ3VUAFK\J001.exe');
DeleteFile('C:\WINDOWS\system32\nssm.exe');
DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
DeleteFile('C:\WINDOWS\system32\Yfdsba.exe');
DeleteFile('C:\WINDOWS\System32\AdvanceLink\smss.exe');
DeleteFile('C:\WINDOWS\system32\G0NCYV085L\G001.exe');
DeleteFile('C:\WINDOWS\system32\G0NCYV085L\J001.exe');
DeleteFile('C:\WINDOWS\system32\firefox2.exe');
DeleteFile('C:\WINDOWS\system32\foxshell.exe');
DeleteFile('C:\WINDOWS\system32\G0NCYV085L\E001.exe');
DeleteFile('C:\WINDOWS\system32\RmmrtmC.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=58036).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
вот новые логи, карантин тоже загрузил
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\gmugy.exe','');
DeleteFile('C:\WINDOWS\system32\gmugy.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите п.2 Диагностики.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\spool\drivers\BWProxyClient.exe','');
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил.
-
-
Junior Member
- Вес репутации
- 53
карантин выложил, кстати, сервер все равно reebotнулся
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('NetworkAnalysisService');
DeleteService('NetworkAnalysisService');
DeleteFile('C:\WINDOWS\system32\spool\drivers\systempro.exe');
DeleteFile('C:\WINDOWS\system32\spool\drivers\BWProxyClient.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Повторите п.2 Диагностики.
-
-
Junior Member
- Вес репутации
- 53
-
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\feafvxx.exe - Backdoor.Win32.Chyopic.x ( DrWEB: BackDoor.ClDdos.5, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\advancelink\smss.exe - Backdoor.Win32.SdBot.pqv ( DrWEB: Trojan.DownLoad.50462 )
- c:\windows\system32\agerunsrv.dll - Trojan-Downloader.Win32.Agent.csnn ( DrWEB: Trojan.DownLoad.55495, BitDefender: Trojan.Agent.ANUH )
- c:\windows\system32\cnzyk.exe - Trojan-Dropper.Win32.Agent.baqr ( DrWEB: Trojan.DownLoad.55496, BitDefender: Trojan.Crypt.EL, AVAST4: Win32:Rincux-C [Trj] )
- c:\windows\system32\lbuz3vuafk\e001.exe - Trojan.Win32.Scar.afsb ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
- c:\windows\system32\lbuz3vuafk\j001.exe - Trojan.Win32.Scar.afsa ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
- c:\windows\system32\nssm.exe - Trojan-Dropper.Win32.Decay.cim
- c:\windows\system32\rmmrtmc.dll - Backdoor.Win32.Nbdd.bi ( DrWEB: BackDoor.Siggen.138, BitDefender: MemScan:Trojan.Agent.ANCD, AVAST4: Win32:PcClient-ZE [Trj] )
- c:\windows\system32\spool\drivers\bwproxyclient.ex e - Trojan.Win32.Agent.czrz ( DrWEB: Trojan.Proxy.6172, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\spool\drivers\systempro.exe - Trojan.Win32.Agent.czsa ( DrWEB: Trojan.Proxy.5869, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )
- c:\windows\system32\winhelp32.exe - Backdoor.Win32.Httpbot.aaq ( DrWEB: BackDoor.Darkshell.96, BitDefender: Gen:Trojan.Heur.bm0@uCENSbgb, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\yfdsba.exe - Trojan.Win32.Scar.aeqf ( DrWEB: DDoS.Attack.230, BitDefender: Trojan.Agent.ANCD, AVAST4: Win32:Dogrobot [Drp] )
-