Windows 2003 Server, при подключении через удалённый рабочий стол окно ввода пароля появляется не мгновенно (как было раньше), а спустя 2-3 минуты.
[ATTACH]250805[/ATTACH]
[ATTACH]250806[/ATTACH]
[ATTACH]250807[/ATTACH]
Printable View
Windows 2003 Server, при подключении через удалённый рабочий стол окно ввода пароля появляется не мгновенно (как было раньше), а спустя 2-3 минуты.
[ATTACH]250805[/ATTACH]
[ATTACH]250806[/ATTACH]
[ATTACH]250807[/ATTACH]
Для начала профиксить:
[CODE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/CODE]
Логи с консоли делали?
[QUOTE=PavelA;665337]Для начала профиксить:
[CODE]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/CODE][/QUOTE]
Как?
[QUOTE=PavelA;665337]Логи с консоли делали?[/QUOTE]
Консоль = удалёный рабочий стол? Да, под администраторскими правами.
[QUOTE='DasTPID;665341']Консоль = удалёный рабочий стол? [/QUOTE]
Нет, делать надо конкретно на "железке".
[QUOTE='DasTPID;665341']Как?[/QUOTE] В "Чаво" расписано.
FAQ прочитал, пофиксил, логи сейчас переделаю "с железки".
[ATTACH]250838[/ATTACH]
[ATTACH]250839[/ATTACH]
[ATTACH]250840[/ATTACH]
Увидел только вот это:
[CODE]begin
//SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-288175931-7427965-3881448060-1045\Software\Microsoft\Windows\CurrentVersion\Run','amva');
ExecuteSysClean;
//RebootWindows(true);
end.[/CODE]
После выполнения данного скрипта на сервере перестал запускаться taskmgr, который нужен. После перезагрузки винда не стартует :(
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 53 минуты[/I][/B][/color][/size]
Загрузился в безопасном режиме, выключил - включил, вроде бы заработало. Симптомы те же, как и в первом сообщении :( Но хотя бы заработал
[B]DasTPID[/B], повторите логи пожалуйста.
[QUOTE=миднайт;666076][B]DasTPID[/B], повторите логи пожалуйста.[/QUOTE]
Прошу прощения что так долго...
[ATTACH]252437[/ATTACH]
[ATTACH]252438[/ATTACH]
[ATTACH]252439[/ATTACH]
Логи avz переделайте. Вышла новая версия программы.
[QUOTE=миднайт;670533]Логи avz переделайте. Вышла новая версия программы.[/QUOTE]
[ATTACH]252677[/ATTACH]
[ATTACH]252678[/ATTACH]
[ATTACH]252679[/ATTACH]
Выполните скрипт, пришлите карантин по правилам:
[CODE]begin
ClearQuarantine;
QuarantineFile('ntmsevt','');
QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
end.[/CODE]
[QUOTE]Ошибка карантина файла, попытка прямого чтения (ntmsevt)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (ntmsevt)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
Карантин с использованием прямого чтения - ошибка[/QUOTE]
Папка карантина пуста :(
Можете добавить файл C:\WINDOWS\System32\ntmsevt вручную в zip-архив с паролем virus и прислать по красной ссылке вверху темы?
Сделал. Файл называется ntmsevt.dll
Файл ntmsevt.dll чистый.
Странно, что это - Windows 2003 [B]SP1[/B], ещё работает.
Ясно, спасибо за помощь
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]