-
Вложил оба файла - лог после запуска скрипта и еще раз сделал сканирование МВАМ
-
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
-
не дает, т.к. он не для серверов
-
- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
сделайте новый лог MBAM
-
Все сделал
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
После перезагрузки выдает опять что в браузере сохранена стартовая, описанная выше.
Иногда выдает сообщение, что неизвестна ошибка при загрузке Prassi Mastering
и вот такие данные
szAppName : spresrt.exe szAppVer : 2.1.0.358 szModName : mozjs.dll
szModVer : 0.0.0.0 offset : 00004cba
-
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
-
-
C:\WINDOWS\Debug\wpdmtp.exe проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите
-
В папке Debug оказалось много файлов от Prassi - насколько я понял из гугла - раньше была крупным производителем хакерского софта, но тут думаю вы в курсе :)
[url]https://www.virustotal.com/ru/file/f8abfbb37f91914c55e980b1c8901a3c7f620b6039d20dcca6d9e806e62ea2ed/analysis/1373265711/[/url]
-
Файлы
[CODE]C:\WINDOWS\system32\tfujTSw.exe
C:\WINDOWS\system32\OmcDpav.exe
C:\WINDOWS\system32\QBJDwsO.exe
C:\WINDOWS\system32\mCOoJty.exe
C:\WINDOWS\system32\gzQGXLi.exe
C:\WINDOWS\system32\cs.exe
C:\WINDOWS\system32\sKINSTALLERS_66_4511.exe
C:\WINDOWS\system32\bootKINSTALLERS_66_4511.exe
C:\WINDOWS\system32\c.exe
C:\WINDOWS\system32\gouri.bat
C:\WINDOWS\system32\sb.dat
C:\WINDOWS\system32\nanrenms.js
C:\WINDOWS\system32\nanren.txt[/CODE]
и папки
[CODE]C:\WINDOWS\Debug
C:\sohucache
C:\WINDOWS\system32\i5736
C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E[/CODE]запакуйтес паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Также выложите этот архив на обменник rghost.ru и пришлите ссылку
Обновления для MS SQL все установлены?
-
Готово, добавил туда еще несколько папок, вот почему - стал на досуге искать, что же за файлы такие эти qibin.vbe и ma.vbe - несколько раз к папке lls выходил.
Также поиски вывели на занятную папку C:\WINDOWS\WinSxS в которой также много чего судя по всему сидит
MICROSOFT.WORKFLOW.COMPILER.EXE.EXE - вот это например
InstallTemp - в ней же нашел такую папку. судя по реакции касперского на ее банальное открытие, там тоже чтото есть.
РЦµЬНшВз - вот еще такую папку нашел с таким же названием
C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E
оказались пустыми
[QUOTE]Обновления для MS SQL все установлены? .[/QUOTE]
а как это проверить? просто боюсь что если начну обновлять, это может нарушить работу сервера.
-
[QUOTE]C:\WINDOWS\system32\ISQL
C:\WINDOWS\43AFCDAB
C:\WINDOWS\system32\i6650
C:\WINDOWS\90C77571
C:\WINDOWS\E67242C7
C:\WINDOWS\B327C95E[/QUOTE]удаляйте
[quote="tchuiman;1016591"]просто боюсь что если начну обновлять, это может нарушить работу сервера[/quote]У Вас похоже сетевой червяк, который как раз и использует дыры в MS SQL. Последняя версия у Вас установлена?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Не вижу от Вас нового карантина
-
Карантин загружается, скоро появится
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
А не подскажете как обновить MS SQL?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Карантин загрузился
-
[quote="tchuiman;1016594"]А не подскажете как обновить MS SQL?[/quote]Установить самую последнюю версию. Главное чтобы она не нарушила работоспособность ппрограмм, которые его используют
-
[url]http://rghost.ru/47284558[/url] - вот ссылка на Rghost
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
C:\Program Files\Microsoft SQL Server\MSSQL\Upgrade - вот там есть файл upgrade.exe - вот через этот файл можно обновить? или нужно скачивать?
-
+ Пришлите в карантин ещё
[CODE]C:\WINDOWS\DEBUG\BROWSER\SPRESRT.EXE[/CODE]
и поишите, если найдёте также пришлите файл
[B]sethc.exe[/B]
+ 168.95.1.1 - Taiwan - эти DNS сами прописывали ?
-
[QUOTE]168.95.1.1[/QUOTE]
Интернет-компания выдала
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Не подскажете, чтобы обновить SQL - нужно заново скачивать его? или есть встроенный агент который поможет обновиться?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Загрузил карантин
-
[quote="tchuiman;1016602"]Интернет-компания выдала[/quote]Это в договоре так с провайдером???
-
[QUOTE]Это в договоре так с провайдером??? [/QUOTE]
да, у нас есть ряд выделенных айпи адресов, и в договоре прописан именно этот днс
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Microsoft SQL Server Management Studio 10.0.1600.22 ((SQL_PreRelease).080709-1414 )
Microsoft Data Access Components (MDAC) 2000.086.3959.00 (srv03_sp2_rtm.070216-1710)
Microsoft MSXML 2.6 3.0 4.0 5.0 6.0
Microsoft Internet Explorer 8.0.6001.18702
Microsoft .NET Framework 2.0.50727.3643
Operating System 5.2.3790
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
не очень в этом понимаю, это означает что это последняя версия стоит?
-
Microsoft SQL Server 2008 R2 - вот такая последняя версия вроде как доступная
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Обновления искатть стоит на www.update.microsoft.com
Page generated in 0.00521 seconds with 10 queries