Заловил троян руками, антивирусы молчат.

Windows 2008 server
Стоит Symantec Endpoint Protection 11
Все легальное.
После пререзагрузки сервер не видится в локалке, горит иконка в трее с красным крестом (как бы отключен сетевой кабель)
хотя реально сетка есть и интернет работает.
В центр управления сети войти не мог - висяк.
Тотал коммандер не запускался - висяк.
Установка и удаление программ не работает - выдает сообщение, что какой-то uninstall уже работает - типа ждите...
Комп дико тормозит.
Прогнал AVZ, Cureit, SpywareTerminator - никакого эффекта.
Проверил что в автозагрузке - :094:Сидит родимый...
Причем в c:\users\администратор\appdata\local\
Заловил троян руками, антивирусы молчат.

В искомой папке подозрительных файлов было несколько
но реально работал umksk.exe (см. вложение)
К сему еще имелся батник... (см.вложение)

Почистил папку руками - безобразия прекратились.
Отсюда вопрос:
Я что, какой-то свежак придушил? И что это за пакость?

Уберите вредоносное вложение и выполните [url]http://virusinfo.info/showthread.php?t=1235[/url]

Карантин выслал.
Но поскольку уже вычистил руками, то боюсь логи бессмысленны...
Два вложил, а один AVZ обещает сделать часов через 7

[QUOTE=AlrxSan;431698]один AVZ обещает сделать часов через 7[/QUOTE]Вот как раз этот лог нужно сделать ПЕРВЫМ, а потом - все остальные. Читайте правила.

Не знаю с чем это связано, но через 5 часов работы AVZ просто закрылся, не сделав лог

Что-то у Вас не то :)
- Отключите Системное восстановление.
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
Потом запустите АВЗ.

Как я уже написал выше у меня 2008 Sever ...
В нем НЕТ системного восстановления :(
А темпы я естественно почистил...
Кстати сегодня он показывает 12 часов до окончания работы...
На настоящий момент проверяется папка ...
ps
Кажется понял что происходит. Привет Билли... блин.:furious3:
Дело в том что в 2008 Server НЕТ папки Documents and Settings вместо нее папка USERS
Для совместимости есть линк Documents and Settings который ведет на папку USERS
Так-же нет папки All Users внутри папки USERS, а вместо нее линк с этим именем на папку ProgramData
Ну и так далее...
Причем внутри Program Data нет папки Application Data, а есть линк с этим именем, который ведет ОБРАТНО на ProgamData ...
В результате AVZ посто ЗАЦИКЛИВАЕТСЯ на проверке этой папки и ПАДАЕТ по переполнению.
Похоже, что для 2008 Server нужен другой скрипт

[QUOTE=AlrxSan;432187]Как я уже написал выше у меня 2008 Sever ...[/QUOTE]Точно :) У Вас 64-битная система? Тогда АВЗ нам не поможет....

Нет, система 32 битная
Просто эти обормоты с линками и новыми именами папок намудрили

Может даже Зайцева придется просить, т.к надо менять принцип перебора файлов. Чтобы AVZ по линкам не ходил. А только по реальным папкам

[QUOTE=AlrxSan;432187]
Похоже, что для 2008 Server нужен другой скрипт[/QUOTE]Это СТАНДАРТНЫЙ скрипт, другого нет. И вообще в логе ничего враждебного не видно :)
[QUOTE]Внимание !!! База поcледний раз обновлялась [COLOR="Red"][B]08.02.2009[/B][/COLOR] необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]???

[QUOTE=AlrxSan;432192]
Может даже Зайцева придется просить, т.к надо менять принцип перебора файлов. [/QUOTE]Просить можно - спрос не бъет в нос... 8)

[I]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) [/I]
Это я полиморфный AVZ 4.32 пытался использовать...
Вроде версия посвежее.
В нем база не обновляется...
Но больному это не помогло...

[QUOTE=AlrxSan;432209]
Это я полиморфный AVZ 4.32 пытался использовать...[/QUOTE][B]AVZ 4.30 [/B] :O

[B]Aleksandra
Lady Helper[/B]
У нее в подписи ссылка на этот полиморф...
Щас переделаю на 4.30

[QUOTE=AlrxSan;432217]
Щас переделаю на 4.30[/QUOTE]Так Вы же уже в ЭТОЙ версии сделали - см. Ваш же лог в Вашем же сообщении #3.

Я уже сам запутался...
Короче выложил сегодняшний...
Хотя меня больше интересует, что за exe-шник я заловил...
В дизасемблировании я слаб...
Еще под ДОСом что-то понимал, а сейчас - увы...

еще в реестре таинственная неудаляемые записи с именем
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup

Внутри - пусто

Дополнительно к стандартным логам сделайте и такой [url]http://virusinfo.info/showthread.php?t=40118[/url]

GMER работает...
сразу скажу: IceSword не запускается
проверил отправленные в карантин файлы на сайте virustotal: 4\41

Кстати, прогнал SpyBot S&D ... Dll-ки он побил обозвав их win32.tdss.rtk, а реестр чистить не стал

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup
gmer.exe -del file "c:\windows\system32\drivers\ovfsthltcenpbxwixbkxegwxqsqpixfurchnxy.sys"
gmer.exe -del file "c:\windows\system32\ovfsthhgwfrmpmedvbmmjnyvqupryrkqawwnlj.dll"
gmer.exe -del file "c:\windows\system32\ovfsthboubmqkcutjatwxcjfpdnwscnupdiunw.dat"
gmer.exe -del file "c:\windows\system32\ovfsthhoautesyegqpcdikvwwkstbumgvkpidr.dll"
gmer.exe -del file "c:\windows\system32\ovfsthobrnnwyxwvetnfqjiwwvdmramnbfapov.dll"
gmer.exe -del file "c:\windows\system32\ovfsthahpfqlssplswkdqkimbhdbvccvwunacs.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthcepvoxrwqrdsjxjbryvfbaibekimotup"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

Ничего не вышло ...
На все строки батника выскивало окошко "Отказано в доступе"

Лог Гмера повторите.