Доброй ночи. Уважаемые помогите пожалуйста в поиске вируса на сервер. Eset на днях нашел PSW.Delf.троян.
Внимание Стоит Windows 2003 Server SP 2.
Логи привожу.
Спасибо всем кто поможет!
Доброй ночи. Уважаемые помогите пожалуйста в поиске вируса на сервер. Eset на днях нашел PSW.Delf.троян.
Внимание Стоит Windows 2003 Server SP 2.
Логи привожу.
Спасибо всем кто поможет!
Уважаемый(ая) [B]forever[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Доброй ночи.
C:\Program Files\Common Files\Target Marketing Agency\ - удалите.
Новой версией AVZ с обновленными базами сделайте лог.
миднайт - спасибо за помощь.
Удалил.
Сделал повторно в последней версии.
Логи привожу.
Явного не заметил.
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Все обновления на систему стоят?
В каком файле и по какому пути антивирус нашел зловреда? Сейчас он обнаруживается?
в любом случае еще раз спасибо.
Подозрительные файлы AVZ. Отправил на анализ.
Обновление не все стоят. Сегодня поставлю.
После обновления баз Антивируса (Eset Nod32) нашел след:
19.09.2011 13:42:40 AMON файл C:\Documents and Settings\reclama\Application Data\svchost.exe Win32/PSW.Delf.OAL троян
DANA-SERV\reclama Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
19.09.2011 13:41:50 AMON файл C:\Documents and Settings\Secretar\Application Data\svchost.exe Win32/PSW.Delf.OAL троян
DANA-SERV\office Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Извините что долго.
Сделал.
Лог привожу.
Радмин это моё.
Жду вашего ответа.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{10A2AFE5-A6C3-46A9-A3E9-DFBE934AFCBB} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{17249F79-BBD0-470A-9BC5-8CFD2D5046D0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{A1C7A1E6-6A3C-4D6F-A376-81C4BEA13A62} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{03C39A03-BDB6-4539-9A35-B8513576A8B4} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Regexp.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Regexp (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2A3F6F50-9A92-4553-9016-729D1E1A00AB} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.FilterDebugger.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.FilterDebugger (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{351371A7-C5CF-472B-8EA3-B1C6414E25ED} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0A3C7FD8-4A49-4E13-8F2B-D406C2B28667} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.Steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54E20E87-E6A4-4B47-A996-653752829354} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayCookie.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayCookie (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{550DA458-33B1-4150-AFB7-59E9728386E3} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwDialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{55264FA9-008D-4318-8F50-B79578520FC4} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Stwsrv.SteadwayReport.1 (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\Stwsrv.SteadwayReport (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{55A577B1-AD9F-4530-AD1E-463B2C4CD162} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwaySiteRate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwaySiteRate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5E1B5A0F-CF08-4195-AB70-209572915923} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Match.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Match (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7023DE86-FAF5-4E26-94AC-C32C740270B0} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.StwBand (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84185EA0-0B56-407f-BBC9-3D1F12FE6EAB} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayFilterRate.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayFilterRate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9CDFE9F3-4D2B-4771-B6C2-C7569226939B} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayRequest.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayRequest (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BCFB7668-312A-4149-83AC-4E7FE71CA44C} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Context.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.Context (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C06CE8FC-50D9-414A-A318-C90E2FCDBEB6} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.UrlScriptlet.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.UrlScriptlet (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C5DB6F05-089B-4FC4-A869-2C1975BD8BAF} (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayError.1 (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayError (Adware.TMAAgent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{CC29517F-D259-4AB6-912A-99678740FD00} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayServer.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TMAgent.SteadwayServer (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
c:\documents and settings\buhgalter\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\buhgalter\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager2\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager2\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager3\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager3\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager5\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager5\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Nelly\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Nelly\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\production\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\production\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad1\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad1\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad2\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad2\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\Secretar\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\Secretar\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
c:\documents and settings\администратор\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\администратор\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.
Зараженные файлы:
d:\Office\uyra\фотоюра_240111\wjmvj.pif (Worm.Autorun) -> No action taken.
c:\documents and settings\buhgalter\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager2\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager3\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Manager5\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Nelly\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\production\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad1\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Sclad2\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\Secretar\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\администратор\local settings\application data\target marketing agency\TMAgent\TMAgent.bin (Adware.TMAagent) -> No action taken.[/code]
thyrex
сделал все как написали. Делал в два захода.
логи привожу.
Плохого ен видно
thyrex -в который раз выручил =).
Спасибо тебе огромное! :beer: