Похоже зловред на сервере

Утром обнаружил что файловый сервер не работает. Не смог открыть не деспетчер задач, не управление сервером.
GMER выдал подозрение на руткит.

сохраните содержимое в блокноте как 1.bat в папке со gmer запустите...повторите логи
[code]
iin23coe.exe -del Service ccrwa
iin23coe.exe -del file "C:\WINDOWS\system32\yrovvmki.dll"
iin23coe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ccrwa"
iin23coe.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ccrwa"
iin23coe.exe -reboot
[/code]

Новые логи

Что, все так грустно?

C:\setup.exe - пришлите согласно приложения 2 правил

Отправил

Похоже зараза пошла по сети, у пользователей начала изчезать языковая панель.

[QUOTE='AndreyET;594291']у пользователей начала изчезать языковая панель.[/QUOTE]
Что-то поздновато. Это вчерашнее ложное срабатывание Доктора, вчера же и поправлено. Базы редко обновляете?

Каждый день с утра.

Про ctfmon.exe: [url]http://forum.drweb.com/index.php?showtopic=289623[/url]

[QUOTE=pig;594770]Про ctfmon.exe: [url]http://forum.drweb.com/index.php?showtopic=289623[/url][/QUOTE]
Это понятно, msi файлик и gpupdate решили все быстро.
Вопрос в следующем, отключил сервер от локалки, перезагрузил в локальном режиме без входа в домен, красных неопознаных процессов стало меньше, но все равно они остались, отправил файл smss.exe на проверку в Virus Total, файл опознан как безопасный, и странный путь у системных файлов, через запись админа, а не напрямую.
В логе HijackThis ничего подозрительного, ни Касперский ни Доктор Веб ничего не видят, как в обычном так и в безопасном режиме, что делать не знаю :(

[QUOTE='AndreyET;594921']странный путь у системных файлов, через запись админа, а не напрямую.[/QUOTE]
Эффект терминального сервера. Поэтому и Allerode.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]