Показано с 1 по 13 из 13.

Похоже зловред на сервере (заявка № 72138)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54

    Question Похоже зловред на сервере

    Утром обнаружил что файловый сервер не работает. Не смог открыть не деспетчер задач, не управление сервером.
    GMER выдал подозрение на руткит.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сохраните содержимое в блокноте как 1.bat в папке со gmer запустите...повторите логи
    Код:
    iin23coe.exe -del Service ccrwa
    iin23coe.exe -del file "C:\WINDOWS\system32\yrovvmki.dll"
    iin23coe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ccrwa"
    iin23coe.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ccrwa"
    iin23coe.exe -reboot

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Новые логи

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Что, все так грустно?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\setup.exe - пришлите согласно приложения 2 правил

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Отправил

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Похоже зараза пошла по сети, у пользователей начала изчезать языковая панель.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndreyET Посмотреть сообщение
    у пользователей начала изчезать языковая панель.
    Что-то поздновато. Это вчерашнее ложное срабатывание Доктора, вчера же и поправлено. Базы редко обновляете?

  10. #9
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Каждый день с утра.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315

  12. #11
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    63
    Вес репутации
    54
    Цитата Сообщение от pig Посмотреть сообщение
    Это понятно, msi файлик и gpupdate решили все быстро.
    Вопрос в следующем, отключил сервер от локалки, перезагрузил в локальном режиме без входа в домен, красных неопознаных процессов стало меньше, но все равно они остались, отправил файл smss.exe на проверку в Virus Total, файл опознан как безопасный, и странный путь у системных файлов, через запись админа, а не напрямую.
    В логе HijackThis ничего подозрительного, ни Касперский ни Доктор Веб ничего не видят, как в обычном так и в безопасном режиме, что делать не знаю

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndreyET Посмотреть сообщение
    странный путь у системных файлов, через запись админа, а не напрямую.
    Эффект терминального сервера. Поэтому и Allerode.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) AndreyET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус на сервере
      От qwezxc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.03.2010, 21:37
    2. ntndis.exe на сервере
      От AlexJuventino в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 00:03
    3. Похоже, зловред таки живет в системе...
      От Sibirian в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.11.2009, 11:53
    4. Зараза на сервере
      От Alexgood в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2009, 15:16
    5. неизвестный зловред похоже
      От Reanimator177 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.02.2009, 17:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01475 seconds with 19 queries