Добрый день.
OC Windows Server 2003 R2 32-bit, не запускаются некоторые приложения (не является Win32, совместимость не помогает), не открывается окно управление сервером(белое окно без содержимого). MS Security Essentials работает но не обновляется с 30.05.2017.
Логи прилагаю.
Заранее благодарю за помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) splinterru, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811040 R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014 R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811014 O4 - HKU\S-1-5-18\..\Run: [kpm.exe] C:\Program Files\Kaspersky Lab\Kaspersky Password Manager 8.0.3\kpm.exe (file missing) O26 - Image File Execution Options: Your Image File Name Here without a path - ntsd -d (file missing)
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin QuarantineFile('C:\WINDOWS\system32\wsaudio.dll',''); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At1.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At2.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At3.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At4.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At5.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At6.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At7.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At8.job','32'); DeleteFile('C:\Documents and Settings\Администратор.SERVER\WINDOWS\Tasks\At9.job','32'); DeleteFile('C:\WINDOWS\system32\wsaudio.dll','32'); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Если ещё не устранили уязвимость, которую используют нашумевшие шифровальщики WannaCry и Petya - MS17-010: Описание обновления безопасности для Windows SMB Server срочно устанавливайте, причём на всех компьютерах в сети.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
WBR,
Vadim
Файл с карантином сам не создался, вручную упаковал папку Quarantine с паролем virus и отправил по ссылке.
Лог FRST прикладываю.
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:Сохраните (Ctrl+S) и закройте.Код:CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] HKU\S-1-5-18\...\RunOnce: [] => [X] BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Documents and Settings\Администратор.SERVER\Local Settings\Application Data\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-02-26] (Mail.Ru) CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009" CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx S2 ihctrl32; C:\WINDOWS\System32\svchost.exe [14848 2009-11-17] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 wsaudio; C:\WINDOWS\System32\svchost.exe [14848 2009-11-17] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) 2017-07-17 17:30 - 2010-01-15 13:43 - 00000348 _____ C:\WINDOWS\Tasks\At9.job 2017-07-17 17:30 - 2010-01-15 12:38 - 00000342 _____ C:\WINDOWS\Tasks\At8.job 2017-07-17 17:30 - 2010-01-14 13:33 - 00000342 _____ C:\WINDOWS\Tasks\At7.job 2017-07-17 17:30 - 2010-01-14 09:13 - 00000344 _____ C:\WINDOWS\Tasks\At6.job 2017-07-17 17:30 - 2010-01-13 12:50 - 00000348 _____ C:\WINDOWS\Tasks\At5.job 2017-07-17 17:30 - 2010-01-12 13:42 - 00000346 _____ C:\WINDOWS\Tasks\At4.job 2017-07-17 17:30 - 2010-01-12 12:12 - 00000346 _____ C:\WINDOWS\Tasks\At3.job 2017-07-17 17:30 - 2010-01-11 11:12 - 00000346 _____ C:\WINDOWS\Tasks\At2.job 2017-07-17 17:30 - 2009-12-30 14:14 - 00000348 _____ C:\WINDOWS\Tasks\At1.job C:\Documents and Settings\All Users\Главное меню\Программы\Администрирование\Управление данным сервером.lnk
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Создайте ярлык для файла SrvMgr.exe, это, как я понимаю, и будет управление сервером. Оригинальный ярлык испорчен вирусом.
WBR,
Vadim
По нажатию CTRL+Y блокнот не открылся, вручную создал файл fixlist.txt, нажал Fix, сработало. Fixlog прилагаю.
SrvMgr.exe в системе не найден, запустил sfc /scannow
Последний раз редактировалось splinterru; 18.07.2017 в 09:27.
Если честно, я не совсем уверен, что это SrvMgr.exe, другое не нагуглилось, а проверить не начем.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wsaudio.dll - not-a-virus:AdWare.Win32.Esprot.aln
Уважаемый(ая) splinterru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
