БСОД прокси сервера

Printable View

16.12.2008, 10:29
Terny

БСОД прокси сервера

Есть сервер на win2003, на котором функция прокси (RAS+трафик инспектор) и базы гарант+консультант. Никаких антивирусов и файерволов не было. Работало стабильно, перезагружался очень редко и в основном по причине перебоя с электричеством. Пока я был в отъезде, пришла девушка и обновила консультант, ну естественно вставляла флэшку в сервак. Это было 5 дней назад. Вчера система после перезагрузки ушла в бсод, ладно хоть грузилось в безопасном режиме. Система ругалась на c:\windows\system32\drivers\sysdrv32.sys.
Удалял этот файл в безопасном режиме, но он все равно появляется. Есть другой по железу точно такой же сервер, на нем AD+DNS+DHCP, на нем нет такого файла.
Сервак удалось восстановить в рабочее состояние:
1) снял винт, прогнал свежеустановленным и обновленным KIS2009
2) посредством переустановки драйверов материнки (asus p5n32sli).
Но все равно хотелось бы услышать мнение специалистов на этот счет, поскольку этот sysdrv32.sys все еще сидит в системе.
16.12.2008, 10:39
light59

Сделайте логи по правилам. [URL="http://virusinfo.info/showthread.php?t=1235"]http://virusinfo.info/showthread.php?t=1235[/URL].А там посмотрим :)
16.12.2008, 11:52
Terny

Вложений: 3

Высылаю логи и файл карантина. В первый раз видимо не прошло.
16.12.2008, 12:42
PavelA

Карантин отсылать по [url]http://virusinfo.info/upload_virus.php?tid=35758[/url]
Из мсж его надо удалить.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WinHost32Svr');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\security\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\security\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

сделать новые логи.
Если что-то попадет в карантин, то прислать.
16.12.2008, 14:40
Terny

Вложений: 3

Выполнил скрипт, sysdrv32.sys больше не появляется. Спасибо за помошь!
16.12.2008, 14:44
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\srwsvc.sys','');
BC_ImportQuarantineList;
BC_QrSvc('srwsvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузите карантин...
17.12.2008, 13:21
Terny

Вложений: 3

Выполнил скрипт. Появилась dll-ка. Высылаю карантин и логи.
17.12.2008, 13:45
PavelA

Trojan.Win32.Agent.tkh было удалено.
18.12.2008, 07:40
Terny

Прогнал диск DrWeb-ом: он нашел трояны:
c:\windows\system32\x.exe
Trojan.Download.29270
c:\C:\Documents and Settings\Default User\Local Settings\Temporary Internet
Files\Content.IE5\5SFHKP16\xwkf[1].jpg
Trojan.Download.16849
Прислать их?
18.12.2008, 10:08
PavelA

Да, но только по Правилам. Через карантин AVZ.
22.02.2009, 09:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]