Выполните скрипт в uVS:
[ATTACH]478342[/ATTACH]
Перезагрузите сервер вручную. Потом сделайте новый лог UVS.
Printable View
Выполните скрипт в uVS:
[ATTACH]478342[/ATTACH]
Перезагрузите сервер вручную. Потом сделайте новый лог UVS.
...
Антивирус отключаете перед тем как выполняете скрипт UVS?
отключаю и выгружаю, может удалить?
Не удалять не надо. Попробуйте выполнить скрипт из сообщения №21 из безопасного режима. Потом сделайте новый лог UVS.
Извините, что долго молчал, забрал комп себе, чтобы был прямой доступ
Выполните скрипт в uVS:
[ATTACH]478741[/ATTACH]
Перезагрузите сервер. Сделайте новый лог
...
Выполните скрипт из 27 сообщения в безопасном режиме. Потом новый лог сделайте
...
Все кажется добили. :)
Что с проблемой?
AVZ ругается
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wizard.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wasppacer.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\reminder.exe
как таковую проблему не видно, не понятно откуда в мсскуле появлялись новые пользователи, и активно брутится порт RDP
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
а в безопасном не ругается
Удалите лишних пользователей и задайте стойкие пароли около 20 символов на каждую учетную запись. Задайте стойкий пароль на RDP.
Сделайте новый лог UVS.
...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
я тут вспомнил http://virusinfo.info/showthread.php?t=156863 на той же машине было, видимо не все убили тогда (
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
breg
unload %SystemRoot%\SYSWOW64\RADIANCE\WAAGENT.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WASPPACER.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WASUB.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
deldir %SystemRoot%\SYSWOW64\RADIANCE
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Потом перезагрузите сервер вручную и сделайте новый лог.[/list]
+ [LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
SecurityCheck отказался на серверной ОС работать.
В локальных пользователях компьютера удалил учетку Support_"цифрыбуквы", после перезагрузки опять появилась.
AVZ уже ругается только на reminder
Сейчас лог в порядке. У вас контроль учетных записей включен? Обновления на сервере все установлены?
Контроль сейчас включил, и обновления пытаюсь поставить, 13 есть, но почему-то ошибка при установке, сейчас буду пробовать по одному обновлять, посмотрю на каком слетает.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
смущает только avz, который reminder показывает
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
все обновил
Что с проблемой?
Левый пользователь не появляется. Вроде все в штатном режиме