Показано с 1 по 13 из 13.

Похоже зловред на сервере (заявка № 72138)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28

    Question Похоже зловред на сервере

    Утром обнаружил что файловый сервер не работает. Не смог открыть не деспетчер задач, не управление сервером.
    GMER выдал подозрение на руткит.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сохраните содержимое в блокноте как 1.bat в папке со gmer запустите...повторите логи
    Код:
    iin23coe.exe -del Service ccrwa
    iin23coe.exe -del file "C:\WINDOWS\system32\yrovvmki.dll"
    iin23coe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ccrwa"
    iin23coe.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ccrwa"
    iin23coe.exe -reboot

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Новые логи

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Что, все так грустно?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\setup.exe - пришлите согласно приложения 2 правил

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Отправил

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Похоже зараза пошла по сети, у пользователей начала изчезать языковая панель.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от AndreyET Посмотреть сообщение
    у пользователей начала изчезать языковая панель.
    Что-то поздновато. Это вчерашнее ложное срабатывание Доктора, вчера же и поправлено. Базы редко обновляете?

  10. #9
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Каждый день с утра.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288

  12. #11
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    28
    Цитата Сообщение от pig Посмотреть сообщение
    Это понятно, msi файлик и gpupdate решили все быстро.
    Вопрос в следующем, отключил сервер от локалки, перезагрузил в локальном режиме без входа в домен, красных неопознаных процессов стало меньше, но все равно они остались, отправил файл smss.exe на проверку в Virus Total, файл опознан как безопасный, и странный путь у системных файлов, через запись админа, а не напрямую.
    В логе HijackThis ничего подозрительного, ни Касперский ни Доктор Веб ничего не видят, как в обычном так и в безопасном режиме, что делать не знаю

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от AndreyET Посмотреть сообщение
    странный путь у системных файлов, через запись админа, а не напрямую.
    Эффект терминального сервера. Поэтому и Allerode.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) AndreyET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус на сервере
      От qwezxc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.03.2010, 21:37
    2. ntndis.exe на сервере
      От AlexJuventino в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 00:03
    3. Похоже, зловред таки живет в системе...
      От Sibirian в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.11.2009, 11:53
    4. Зараза на сервере
      От Alexgood в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2009, 15:16
    5. неизвестный зловред похоже
      От Reanimator177 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.02.2009, 17:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01576 seconds with 21 queries