На компьютере-сервере засел вирус [not-a-virus:Server-FTP.Win32.SFH.hp ]

Там, проверил, стало быть установленная обновлена по максимуму. А на новую боюсь компания фиг денег даст, но буду узнавать
Тогда жду помощи дальнейшей по истреблению червяка) в ответ обязательно отблагодарю)

Пока результатов обработки карантина нет. Ждем-с

Подавляющее большинство файлов в карантине оказались мусором

Рекомендую начать смену паролей, используемых в сети. Вполне возможно, что они стали известны злоумышленникам

Это я понимаю, вы думаете что и компы локальной сети не подключенные к интернету тоже могут быть заражены?

Какие мои дальнейшие действия помимо этого? Ведь червь то по-прежнему сидит

Подскажите чего делать то?)

...
[quote="thyrex;1016847"]Рекомендую начать смену паролей,[/quote]

это сделано, все сменил, а дальше?

есть хоть какие-то новости? или глухо совсем??

Сделайте свежий лог MBAM

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


отпишите, какие сейчас проблемы.

После выполнения скрипта пишет что часто используемые уязвимости не обнаружены. В логе МВАМ тоже только что к эксплореру привязалась ссылка
Выложить больше файлы не могу, так что выкладываю текстово
15.07.2013 11:53:13
mbam-log-2013-07-15 (11-53-13).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 420335
Времени прошло: 1 часов , 46 минут , 17 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: ([url]http://www.2345.com/?k1112958[/url]) Хорошо: ([url]http://www.google.com[/url]) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: ([url]http://www.2345.com/?k1112958[/url]) Хорошо: ([url]http://www.google.com[/url]) -> Помещено в карантин и успешно исправлено.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)



Единственное. что в папках windows\debug и по прежнему висит ПО prassi и при перезагрузке выскакивает сообщение, что ошибки при загрузке нескольких системных процессов [B]qibin.vbe[/B] и [B]ma.vbe [/B] - кто нить знает что это за файлы?

Сделайте логи новой версией AVZ (ссылка та же) и RSIT новый сделайте.

Сделал, поскольку лимит прикрепления файлов исчерпан, то вот ссылка на rghost
[url]http://rghost.ru/47431901[/url]

[quote="tchuiman;1018482"]поскольку лимит прикрепления файлов исчерпан[/quote]Очистите через Мой кабинет-Вложения

Готово

Нового в системных папках не появилось, что хороший признак. Осталось три трояна и следы жизнедеятельности взломщиков, которые удалим таким скриптом:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{452ADB5B-00BE-469D-A65F-3046146B2ED5}');
TerminateProcessByName('c:\windows\pipi\opk.exe');
DeleteFile('c:\windows\pipi\opk.exe','32');
DeleteFile('C:\WINDOWS\system32\gzQGXLi.exe');
DeleteFile('C:\WINDOWS\system32\mCOoJty.exe');
DeleteFile('C:\WINDOWS\system32\QBJDwsO.exe');
DeleteFile('C:\WINDOWS\system32\OmcDpav.exe');
DeleteFile('C:\WINDOWS\system32\cs.exe');
DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_29746.exe');
DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_30098.exe');
DeleteFile('C:\WINDOWS\system32\DUMP.COM');
DeleteFile('C:\WINDOWS\system32\c.exe');
DeleteFile('C:\WINDOWS\system32\gouri.bat');
DeleteFile('C:\WINDOWS\system32\sb.dat');
DeleteFile('C:\WINDOWS\system32\nanrenms.js');
DeleteFile('C:\WINDOWS\system32\nanren.txt');
DeleteFile('C:\WINDOWS\system32\DUMP.TMP');
DeleteFile('C:\WINDOWS\system32\SET3047.tmp');
DeleteFile('C:\WINDOWS\system32\SET3045.tmp');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\ojoxm.cc3','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\xnobm.cc3','32');
DeleteFile('C:\Program Files\2345xiufudashi\QTmain.exe','32');
DeleteFile('C:\Program Files\Wuji\2013627\WJNews.exe','32');
DeleteFile('C:\Program Files\kuping4\kuping_v4.exe','32');
DeleteFile('C:\WINDOWS\Debug\wpdmtp.exe','32');
DeleteFile('C:\WINDOWS\Thunder\lsess.exe','32');
DeleteFile('C:\WINDOWS\srchasst\wmpserv.dll','32');
DeleteDirectory('C:\WINDOWS\system32\i5736');
DeleteFileMask('C:\WINDOWS\Thunder','*',true);
DeleteDirectory('C:\WINDOWS\Thunder');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\pipi\Opk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Готово
После перезагрузки снова цепанулась стартовая 2345.com и снова выдало сообщение дисп. службы о сбое в запуске файлов qibin.vbe, ma.vbe

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].

Сделал

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

delref %SystemRoot%\THUNDER\LSESS.EXE
delref %SystemRoot%\MSAPPS\MSINFO\MSSYCHX.EXE
delref %Sys32%\SENDMINIAPP.EXE
delref HTTP://WWW.2345.COM/?K1112958
delref %SystemRoot%\PIPI\OPK.EXE
delall %SystemRoot%\DEBUG\BROWSER\SPRESRT.EXE
delref %SystemRoot%\RESOURCES\SMSCVCY.EXE
delref %SystemRoot%\SRCHASST\WMPSERV.DLL
delref %Sys32%\SETUP
delref %SystemDrive%\PROGRAM FILES\LIEBAO\LBBROWSER\LIEBAO.EXE
delref %SystemDrive%\PROGRAM FILES\搜狐影音\SOHUAUTODETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES\搜狐影音\SHRES.EXE
delref %SystemDrive%\PROGRAM FILES\°ЧНГKTV\X179PLUGIN.DLL
restart[/code]Компьютер перезагрузится.

Проверьте, что с проблемами.

все тоже самое, после перезагрузки как будто откатывается назад

Интересно...
Скачайте [URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL] и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле [B]C:\AdwCleaner[R1].txt[/B]. Прикрепите отчет к своему следующему сообщению.

По поводу сбоя в запуске файлов qibin.vbe, ma.vbe - можно цитату из журнала событий?

а где этот журнала событий отыскать? в администрировании?

Да, там.
Поищите в AVZ ("Сервис" -> "Поиск данных в реестре") всё, где упоминается [B]qibin.vbe[/B] и [B]ma.vbe[/B], по отдельности, поиск для каждого значения, отметьте все ключи, и [U]не удаляя[/U] их, экспортируйте ("Создать reg файл с отмеченными ключами"). Затем эти файлы упакуйте в архив и прикрепите к своему следующему сообщению.

Сделано,

Запустите повторно [B]AdwCleaner (by Xplode)[/B] (в ОС [B]Windows Vista/7[/B] необходимо запускать по правой кнопке мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL].

Готово
Покопался в журнале событий, вот что выдает


Тип события: Предупреждение
Источник события: EventSystem
Категория события: (54)
Код события: 4353
Дата: 17.07.2013
Время: 12:10:08
Пользователь: Н/Д
Компьютер: INETSERV
Описание:
Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.


Системе событий COM+ не удалось создать копию подписчика {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}. StandardCreateInstance было возвращено значение HRESULT 8007041F.

Неполный лог Gmer получился. Попробуйте так.
Отключите временно антивирус, запустите Gmer. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

* Sections
* IAT/EAT
* Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save).

Готово

Что с 2345.com и другими проблемами?

все без изменений, к сожалению

Стартовая во всех броузерах появляется?

Нет, судя по всему, такая фигня только с эксплорером, в мозилле и хроме такого не повторяется

Есть у меня чувство, что это из-за "Конфигурации усиленной безопасности Internet Explorer ". Попролбуйте её на время отключить и вручную вычистить эту стартовую.

Если отключаю конфигурацию (в 2003-м сервере насколько я понимаю это возможно только через панель управления, установка-удаление и далее галочку убираю), то ссылка пропадает сама собой, но стоит установить конфигурацию обратно и перезагрузиться, то ссыль появляется обратно.
Ну и по прежнему выдается "Не удается найти файл сценария ma.vbe и qibin.vbe"

Стартовую найдите и удалите в редакторе реестра.
Что касается ma.vbe и qibin.vbe - что-то не получается найти что-либо связанное с ними... Предупреждение выдаётся периодически, или только при загрузке?

Да в том то и дело, что вычищал из реестра, а после перезагрузки системы как будто и не делал этго. все обратно восстанавливается.

Тоже пробовал погуллить по этим файлам и ничего(((( может программные какие-то из установленных уже прог.
Сообщение это выдается только при загрузке.

Сделайте лог OTL by OldTimer как описано [URL="http://safezone.cc/forum/showthread.php?t=12019"]здесь[/URL].

а какой из скриптов выбрать? у меня server 2003 sp2 стоит

Для 32-разрядных систем.

Готово