Здравствуйте!
Последнее время начал тормозить сервак цштвщцы
Printable View
Здравствуйте!
Последнее время начал тормозить сервак цштвщцы
Ого, вот это скорость ответа на сообщения :)
Сорри, случайно раньше времени нажал "отправить", а пока ждал активации аккаунта вы уже и ответили.
Вот логи, посмотрите, плиз, может есть что-нибудь лишнее в системе.
Давайте попробуем так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[code]begin
QuarantineFile('c:\windows\system32\drivers\symavc32.sys','');
QuarantineFile('W:\SysProfiles\alex\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe','');
end.[/code]
После выполнения скрипта, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=19073[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]
Повторить логи не из терминальной сессии есть возможность? Если есть, скачайте версию 2.02 Hijackthis по ссылке из правил и повторите логи, начиная с п. 10 правил, запустив утилиты из локального сеанса. И еще вопрос: перезагрузку данной машины в процессе выполнения скриптов вы можете делать?
Файл сохранён как 080304_005655_virus_47ccf2b750869.zip
Размер файла 296006
MD5 6dd5c6fc23ef27191fb018cf16062dd3
в карантине только winlogon.exe, на остальные фалы AVZ выдает ошибку:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe)
Карантин с использованием прямого чтения - ошибка
Сейчас могу зайти на сервер локально - новый лог hijackthis приложил.
Перезагружать сервер нежелательно, но если очень нужно то после 19-00 можно.
лог AVZ не из терминала
Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\\drivers\symavc32.sys');
DeleteFile('w:\windows\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
BC_DeleteSvc('symavc32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Но компьютер перегрузится... выберите время для этого...
Затем повторите логи
Свежие логи.
При создании этих логов AVZ поместил в карантин файлы appmg.dll и certpde.dll, которые вы просили раньше - прислать их?
что хотели убить убили .... файлы конечно пришлите ....
ок, выслал
[QUOTE]
Результат загрузкиФайл сохранён как 080305_003410_virus_47ce3ee297bf3.zip
Размер файла 164861
MD5 e479dd7fbe7f41abbcfa023960ba1c22
Файл закачан, спасибо!
[/QUOTE]
C:\WINDOWS\system32\appmg.dll -[B]Trojan.Win32.Pakes.cdw[/B]
C:\WINDOWS\system32\certpde.dll [B]Trojan.Win32.Pakes.cdw[/B]
выполните скрипт ...компьютер перегрузится ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\certpde.dll');
DeleteFile('C:\WINDOWS\system32\appmg.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\appmg.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.49366)[*] c:\\windows\\system32\\certpde.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.49366)[/LIST][/LIST]