Здравствуйте, никак не могу справиться
Printable View
Здравствуйте, никак не могу справиться
Уважаемый(ая) [B]bugavka[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\windows\syswow64\radiance\wizard.exe');
TerminateProcessByName('c:\windows\syswow64\radiance\wasub.exe');
TerminateProcessByName('c:\windows\syswow64\radiance\wasppacer.exe');
TerminateProcessByName('c:\windows\syswow64\radiance\waagent.exe');
QuarantineFile('c:\windows\syswow64\reminder.exe','');
QuarantineFileF('c:\windows\syswow64\radiance', '*', true, ' ', 0, 0);
DeleteFile('c:\windows\syswow64\radiance\waagent.exe','32');
DeleteFile('c:\windows\syswow64\radiance\wasppacer.exe','32');
DeleteFile('c:\windows\syswow64\radiance\wasub.exe','32');
DeleteFile('c:\windows\syswow64\radiance\wizard.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
end.
[/CODE]
Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Вот результат.
[QUOTE]Версия Windows: 6.1.7601, Service Pack 1 "Windows Server 2008 R2 Standard" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#0)[/QUOTE]
Новые логи делаются не через терминальную сессию. И еще не вижу вашего карантина.
виноват. нет прямого доступа к ПК. через Teamviewer, надеюсь, пойдет
Что с проблемой?
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\reminder.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wizard.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wasppacer.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\waagent.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wasub.exe
вот не нравятся они мне (
Чего-то я этих записей не вижу по последним вашим логам из 6 сообщения.
[LIST=1][*]Скачайте [B][URL="http://yadi.sk/d/BxpxombeMgTxv"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
вот
[HELP]Создайте точку восстановления.[/HELP]
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Скрипт во вложении.[ATTACH]478174[/ATTACH]
[*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. По окончания выполнения скрипта перезагрузите сервер вручную.[*]После перезагрузки упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.[*] Сделайте новый лог UVS[/List]
не могу вложение загрузить. мало места. и удалить ничего не могу
[url=http://virusinfo.info/showthread.php?t=130567]Как удалить старые вложения?[/url]
вот
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
Скрипт во вложении.
[ATTACH]478212[/ATTACH]
Перезагрузите сервер вручную. Потом сделайте новый лог UVS.
Вот
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
Скрипт во вложении.
[ATTACH]478264[/ATTACH]
Перезагрузите сервер вручную потом сделайте новый лог UVS.
и еще
Выполните скрипт в uVS:
[ATTACH]478333[/ATTACH]
Перезагрузите сервер вручную. Потом сделайте новый лог UVS.
...
Выполните скрипт в uVS:
[ATTACH]478342[/ATTACH]
Перезагрузите сервер вручную. Потом сделайте новый лог UVS.
...
Антивирус отключаете перед тем как выполняете скрипт UVS?
отключаю и выгружаю, может удалить?
Не удалять не надо. Попробуйте выполнить скрипт из сообщения №21 из безопасного режима. Потом сделайте новый лог UVS.
Извините, что долго молчал, забрал комп себе, чтобы был прямой доступ
Выполните скрипт в uVS:
[ATTACH]478741[/ATTACH]
Перезагрузите сервер. Сделайте новый лог
...
Выполните скрипт из 27 сообщения в безопасном режиме. Потом новый лог сделайте
...
Все кажется добили. :)
Что с проблемой?
AVZ ругается
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wizard.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wasppacer.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\reminder.exe
как таковую проблему не видно, не понятно откуда в мсскуле появлялись новые пользователи, и активно брутится порт RDP
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
а в безопасном не ругается
Удалите лишних пользователей и задайте стойкие пароли около 20 символов на каждую учетную запись. Задайте стойкий пароль на RDP.
Сделайте новый лог UVS.
...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
я тут вспомнил http://virusinfo.info/showthread.php?t=156863 на той же машине было, видимо не все убили тогда (
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
breg
unload %SystemRoot%\SYSWOW64\RADIANCE\WAAGENT.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WASPPACER.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WASUB.EXE
unload %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
deldir %SystemRoot%\SYSWOW64\RADIANCE
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Потом перезагрузите сервер вручную и сделайте новый лог.[/list]
+ [LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
SecurityCheck отказался на серверной ОС работать.
В локальных пользователях компьютера удалил учетку Support_"цифрыбуквы", после перезагрузки опять появилась.
AVZ уже ругается только на reminder
Сейчас лог в порядке. У вас контроль учетных записей включен? Обновления на сервере все установлены?
Контроль сейчас включил, и обновления пытаюсь поставить, 13 есть, но почему-то ошибка при установке, сейчас буду пробовать по одному обновлять, посмотрю на каком слетает.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
смущает только avz, который reminder показывает
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
все обновил
Что с проблемой?
Левый пользователь не появляется. Вроде все в штатном режиме