Сервер win2000 sp4 периодически перезагружается с выкидыванием окна о том что services.exe была неожиданно прекращена с кодом 128 (кажется). Проверка norton antivirus ничего не дала...уже не знаю где копать...
Printable View
Сервер win2000 sp4 периодически перезагружается с выкидыванием окна о том что services.exe была неожиданно прекращена с кодом 128 (кажется). Проверка norton antivirus ничего не дала...уже не знаю где копать...
1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
QuarantineFile('aic116x.sys', 'CHQ=N');
QuarantineFile('ami0nt.sys', 'CHQ=N');
QuarantineFile('BusLogic.sys', 'CHQ=N');
QuarantineFile('cpqarry2.sys', 'CHQ=N');
QuarantineFile('cpqfcalm.sys', 'CHQ=N');
QuarantineFile('cpqfws2e.sys', 'CHQ=N');
QuarantineFile('deckzpsx.sys', 'CHQ=N');
QuarantineFile('Fd16_700.sys', 'CHQ=N');
QuarantineFile('fireport.sys', 'CHQ=N');
QuarantineFile('flashpnt.sys', 'CHQ=N');
QuarantineFile('ipsraidn.sys', 'CHQ=N');
QuarantineFile('lp6nds35.sys', 'CHQ=N');
QuarantineFile('Ncrc710.sys', 'CHQ=N');
QuarantineFile('ql2100.sys', 'CHQ=N');
QuarantineFile('C:\Raptor\Firewall\BIN\eaglemsg.dll', 'CHQ=N');
QuarantineFile('C:\Raptor\WebServer\bin\tomcat.exe', 'CHQ=N');
QuarantineFile('sglfb.sys', 'CHQ=N');
QuarantineFile('tga.sys', 'CHQ=N');
QuarantineFile('ultra66.sys', 'CHQ=N');
QuarantineFile('E:\WINNT\System', 'CHQ=S');
QuarantineFile('E:\WINNT\system32\athprxy.dll', 'CHQ=N');
QuarantineFile('E:\WINNT\system32\mljhghi.dll', 'CHQ=S');
QuarantineFile('E:\WINNT\System32\Drivers\dump_diskdump.sys', 'CHQ=S');
QuarantineFile('E:\WINNT\System32\Drivers\dump_si3112r.sys', 'CHQ=S');
QuarantineFile('E:\WINNT\system32\drivers\si3112r.sys', 'CHQ=N');
QuarantineFile('e:\winnt\system32\cba\pds.exe', 'CHQ=G');
QuarantineFile('E:\WINNT\system32\plugincpl131_04.cpl', 'CHQ=G');
QuarantineFile('e:\program files\binarysense\hddlife 3\hldasvc.exe', 'CHQ=G');
QuarantineFile('E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe', 'CHQ=G');
QuarantineFile('E:\PROGRA~1\MICROS~3\MSSQL\binn\sqlagent.exe', 'CHQ=G');
QuarantineFile('E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe', 'CHQ=G');
QuarantineFile('e:\program files\common files\system\mssearch\bin\mssearch.exe', 'CHQ=G');
BC_QrFile('C:\Raptor\Firewall\BIN\eaglemsg.dll');
BC_QrFile('C:\Raptor\WebServer\bin\tomcat.exe');
BC_QrFile('E:\WINNT\System');
BC_QrFile('E:\WINNT\system32\mljhghi.dll');
BC_QrFile('E:\WINNT\System32\Drivers\dump_diskdump.sys');
BC_QrFile('E:\WINNT\System32\Drivers\dump_si3112r.sys');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
Скрипт выполнил.
Карантин отправил.
Пункт 3 в процессе...
Выполните пожалуйста ещё вот такой скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('E:\WINNT\system32\snti386.dll','');
QuarantineFile('E:\WINNT\system32\mljhghi.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
И загрузите карантин повторно.
Скрипт выполнил, карантин отправил...
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
[b]- [url="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление[/url]!!! Это ВАЖНО![/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DeleteFile('E:\WINNT\system32\mljhghi.dll');
DelCLSID('086F3ADF-92EA-4415-877E-C7DD7DD64F14');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
[b]- Обновите базы AVZ!!! [/b] Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ [url="http://z-oleg.com/secur/avz_up/avzbase.zip"]скачайте отсюда[/url] и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ.
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи к новому сообщению в этой ветке.
К инету комп не поключен, а вот от сети отключить не могу, подключаюсь к нему удаленно.
И антивирус отключить не могу, могу только удалить...чем наверное и займусь когда все вычищу..
Логи прилагаются, в карантине пусто, прислать нечего...
Ну при всех таких условиях мы не можем гарантировать полноту лечения.
Сервак самопроизвольно перезагружаться перестал, нашел зловреда на компах в сети, который и атаковал мой сервак. Всем спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]