Запуск множество процессов network service Помогите!!!!!
Printable View
Запуск множество процессов network service Помогите!!!!!
Уважаемый(ая) [B]parkhat[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe','');
QuarantineFile('C:\recycler\hexqq.exe','');
QuarantineFileF('C:\recycler', '*.exe', true,'', 0, 0, '', '', '');
QuarantineFileF('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true,'', 0, 0, '', '', '');
DeleteFile('C:\recycler\hexqq.exe','32');
DeleteFile('C:\ProgramFiles\Intel\QQupdatajzyt.exe','32');
DeleteFileMask('C:\recycler','*.exe',true);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
end.[/code]Перезагрузите сервер вручную.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
сделал все по инструкции но процессы таки запускаются что делать дальше?
Полный образ автозапуска uVS где?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Грузят на сервер трояны, пока смените админские пароли.
полный образ автозагрузок
Выполните не из терминальной, [U]а из консольной сессии[/U] на сервере следующее.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
unload %Sys32%\FTP.EXE
del %Sys32%\FTP.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SOGOU.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\SVCHVCST.EXE
delref %SystemDrive%\PROGRAMFILES\INTEL\QQUPDATAJZYT.EXE
adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5
adddir C:\recycler
crimg[/CODE]
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Будет создан новый полный образ автозапуска UVS, выложите его в теме.
ругается что текст скрипта содержит ошибки, либо не содержит команд uVS
Поправил, выполняйте.
один созданный автоматом второй полный еще раз сделал
Остановите и отключите пока автозагрузку Apach и MS SQL Server (сервис поставьте на запуск вручную). Ломают через одного из них. Затем выполните скрипт в UVS:[CODE];uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5
deltmp[/CODE]
Перезагрузите сервер и последите, что с процессами от network service.
отрубил интернет вообще все равно лезут процессы network service
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
adddir C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5
adddir C:\recycler
crimg[/CODE]
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Будет создан новый полный образ автозапуска UVS, загрузите на rghost.ru и дайте ссылку в теме.
ругается что текст скрипта содержит ошибки, либо не содержит команд uVS
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
http://rghost.ru/57603959
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
скрипт запустил лог новый закачан в ссылке
Прошу прощения, так и копирую опечатку в скрипте.
Выполните скрипт в UVS:[CODE];uVS v3.83 BETA 19 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
; C:\RECYCLER\HEXBAIBIAN.DDS
addsgn 925277EA156AC1CC0B74514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 64 Trojan:Win32/SystemHijack.gen [MS]
zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
zoo %SystemRoot%\MSCORSVW.COM
delall %SystemRoot%\MSCORSVW.COM
zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS
zoo %Sys32%\P.EXE
delall %Sys32%\P.EXE
zoo %Sys32%\NANSHOU-1.EXE
delall %Sys32%\NANSHOU-1.EXE
zoo %Sys32%\NANSHOU.EXE
delall %Sys32%\NANSHOU.EXE
zoo %Sys32%\NANSHOUCS.BAT
delall %Sys32%\NANSHOUCS.BAT
delall %SystemDrive%\1997.COM
delall %Sys32%\IAS\NANSHOU.VBS
chklst
delvir
czoo[/CODE]и перезагрузите сервер. Новый файл ZOO_*.7Z загрузите в карантин.
Судя по предыдущему образу, сервер от интернета не отключен, Apach и MS SQL работают. Так можно до бесконечности лечить. Перед перезагрузкой хотя бы апач отключите, дырявый он явно, и пароли в нём смените. И в MS SQL на SA поменяйте. Доступ к SQL снаружи нужен? Если нет - закройте файрволом.
Два дырявых компонента, так и будут взламывать постоянно. Про уязвимости самой системы я уже не говорю...
можете проверить скрипт последний не хочет запускаться
Проверил, работает. Пробуйте в таком виде:[CODE];uVS v3.83 BETA 19 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
zoo %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\BOOTBAIBIAN.DDS
zoo %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\HEXBAIBIAN.DDS
zoo %SystemRoot%\MSCORSVW.COM
delall %SystemRoot%\MSCORSVW.COM
zoo %SystemDrive%\RECYCLER\STBAIBIAN.DDS
delall %SystemDrive%\RECYCLER\STBAIBIAN.DDS
zoo %Sys32%\P.EXE
delall %Sys32%\P.EXE
zoo %Sys32%\NANSHOU-1.EXE
delall %Sys32%\NANSHOU-1.EXE
zoo %Sys32%\NANSHOU.EXE
delall %Sys32%\NANSHOU.EXE
zoo %Sys32%\NANSHOUCS.BAT
delall %Sys32%\NANSHOUCS.BAT
zoo %SystemDrive%\1997.COM
delall %SystemDrive%\1997.COM
zoo %Sys32%\IAS\NANSHOU.VBS
delall %Sys32%\IAS\NANSHOU.VBS
czoo[/CODE]
Копируете полностью, начиная с ";" ?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]143[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\boot3389.exe - [B]Trojan.Win32.Diztakun.cww[/B] ( BitDefender: Generic.Malware.SYBd!CTk.2CDA870C )[*] c:\recycler\hexdown.exe - [B]Backdoor.Win32.Farfli.btm[/B] ( BitDefender: Gen:Variant.Graftor.136362, AVAST4: Win32:Malware-gen )[*] c:\recycler\hexggx.exe - [B]Trojan.Win32.Vehidis.apd[/B] ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )[*] c:\recycler\hexgxx.exe - [B]Trojan.Win32.Vehidis.apd[/B] ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )[*] c:\recycler\hexinfo.exe - [B]Trojan.Win32.Vehidis.apd[/B] ( BitDefender: Gen:Variant.Graftor.100208, AVAST4: Win32:Malware-gen )[*] c:\recycler\hexmade32.exe - [B]Backdoor.Win32.Farfli.cgk[/B] ( BitDefender: Gen:Variant.Symmi.42609, AVAST4: Win32:Agent-ATRJ [Trj] )[*] c:\recycler\hexnnss.exe - [B]Trojan.Win32.Agent.agmuw[/B] ( BitDefender: Gen:Variant.Graftor.144559, AVAST4: Win32:Elknot-N [Trj] )[*] c:\recycler\hexoffice.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Malware-gen )[*] c:\recycler\hexsax.exe - [B]Backdoor.Win32.Farfli.crt[/B] ( BitDefender: Gen:Variant.Graftor.151311, AVAST4: Win32:Farfli-AH [Trj] )[*] c:\recycler\hexsvchost.exe - [B]Backdoor.Win32.Farfli.btm[/B] ( BitDefender: Gen:Variant.Graftor.145178, AVAST4: Win32:Agent-ATRM [Trj] )[*] c:\recycler\hexsvhost.exe - [B]Backdoor.Win32.Farfli.cgn[/B] ( BitDefender: Gen:Variant.Symmi.170, AVAST4: Win32:Malware-gen )[*] c:\recycler\stserver.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: DeepScan:Generic.Malware.PVPkg.9AE2D38A, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]