Windows Server 2003 SP1

Огромное спасибо за оказанную помощь, однако есть ещё проблема

На сервере(установлен Windows Server 2003 SP1) запускаются терминалы в которых пользователи стартуют 1C, с некоторых пор периодически стали выскакивать сообщения о критических ошибках Svshost, а пользователи жалуются что 1С как бы работает, но с какого то момента сохранить, удалить данные становится невозможным.
Я запустил AVZ, просканировал, в результате есть подозрение на подмену процесса smss, а так же выдало что неверные настройки SPI/LSP.

Я немного покапался на форумах, выяснил что вполне возможно это не ошибка-AVZ на Windows server некоторые пути воспринимает неверно, однако, тот же AVZ на другом сервере подобных проблем не обнаружил. Так вот не понятно - всё же есть подозрение на вирус или нет. Помогите пожалуйста разобраться. Лог прилагается

В regedit дайте "Полный доступ" администратору на эту ветку:

[QUOTE]HKLM\SYSTEM\CurrentControlSet\Services\ovfhfmlq[/QUOTE]

Далее обновите содержимое по F5 и удалите все ключи, которые ссылаются на ovfhfmlq...

После задайте поиск по всему реестру и там где найдется ovfhfmlq проделайте тоже самое. Будьте очень осторожны при работе с реестром!!!

[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]

После выполните скрипт в AVZ:

[CODE]begin
RegSearch('HKLM', '', 'ovfhfmlq');
SaveLog(GetAVZDirectory + 'avz.log');
end.[/CODE]

Прикрепите лог avz.log из папки AVZ.

к сожалению ветки LEGASY_ovfhfmlq не удаляются

кстати, запустил GMER- он тут же выдал что процесс SVCHOST.exe не безопасен, в поле Value наш ovfhfmlq...

буду пробовать...

Я Вам разве про Gmer писала? На Windows 2003 его вообще лучше не использовать! Выполните скрипт и приложите лог.

я с помощью GMER не собирался лечением заниматься, для дополнительного анализа
вроде бы поудалял все ветки, скрипт отработал, прилагаю

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfhfmlq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\ovfhfmlq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ovfhfmlq');
DeleteService('ovfhfmlq');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Повторите лог [B]virusinfo_syscheck.[/B]

спасибо за информацию, однако скрипт не возымел действия, несмотря на то что на ветки были выданы права администратору с полным доступом, при удалении выдаёт сообщение - ключ удалить не возможно...

Приложите [B]virusinfo_syscheck.[/B]

доброго времени суток,
вчера провозился до вечера, но в итоге, по крайней мере этот вирус удалён, может быть этому так же поспособствовал запуск утилиты кк.exe от касперского, логи прилагаю

лог virusinfo_syscheck почему то отсутствует

да и ещё, сегодн сутра проверил ещё пару компьютеров... на всех обнаружен ниссан, а на одном такая же зараза(насколько я понял kido) как и на сервере, буду чистить по аналогии с тем как делал это на своём компьютере и на сервере, потому как если все логи на форум выложить это уже буде слишком

Ничего зловредного в логах нет. Необходимо установить все доступные обновления системы.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=VK_;479919]потому как если все логи на форум выложить это уже буде слишком[/QUOTE]
Почему же? Выкладывайте! Только для каждой машины нужно создавать отдельную тему.

:) ещё раз выражаю свою благодарность

а по поводу выкладывания логов - это порядка 30 компьютеров, технологию я усвоил, аналогичным образом пройдусь по всем компьютерам в сети, если возникнут непредвиденные ситуации тогда уж открою новую ветку(ки)