Помогите удалить вирус

[mike 1]

Выполните скрипт в uVS:

10.txt

Перезагрузите сервер вручную. Потом сделайте новый лог UVS.

[bugavka]

...

[mike 1]

Антивирус отключаете перед тем как выполняете скрипт UVS?

[bugavka]

отключаю и выгружаю, может удалить?

[mike 1]

Не удалять не надо. Попробуйте выполнить скрипт из сообщения №21 из безопасного режима. Потом сделайте новый лог UVS.

[bugavka]

Извините, что долго молчал, забрал комп себе, чтобы был прямой доступ

[mike 1]

Выполните скрипт в uVS:

12.txt

Перезагрузите сервер. Сделайте новый лог

[bugavka]

...

[mike 1]

Выполните скрипт из 27 сообщения в безопасном режиме. Потом новый лог сделайте

[bugavka]

...

[mike 1]

Все кажется добили.

Что с проблемой?

[bugavka]

AVZ ругается
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wizard.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\radiance\wasppacer.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\syswow64\reminder.exe
как таковую проблему не видно, не понятно откуда в мсскуле появлялись новые пользователи, и активно брутится порт RDP

- - - Добавлено - - -

а в безопасном не ругается

[mike 1]

Удалите лишних пользователей и задайте стойкие пароли около 20 символов на каждую учетную запись. Задайте стойкий пароль на RDP.

Сделайте новый лог UVS.

[bugavka]

...

- - - Добавлено - - -

я тут вспомнил http://virusinfo.info/showthread.php?t=156863 на той же машине было, видимо не все убили тогда (

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.82.5 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   
   OFFSGNSAVE
   breg
   
   unload %SystemRoot%\SYSWOW64\RADIANCE\WAAGENT.EXE
   unload %SystemRoot%\SYSWOW64\RADIANCE\WASPPACER.EXE
   unload %SystemRoot%\SYSWOW64\RADIANCE\WASUB.EXE
   unload %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
   deldir %SystemRoot%\SYSWOW64\RADIANCE

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Потом перезагрузите сервер вручную и сделайте новый лог.

+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[bugavka]

SecurityCheck отказался на серверной ОС работать.
В локальных пользователях компьютера удалил учетку Support_"цифрыбуквы", после перезагрузки опять появилась.
AVZ уже ругается только на reminder

[mike 1]

Сейчас лог в порядке. У вас контроль учетных записей включен? Обновления на сервере все установлены?

[bugavka]

Контроль сейчас включил, и обновления пытаюсь поставить, 13 есть, но почему-то ошибка при установке, сейчас буду пробовать по одному обновлять, посмотрю на каком слетает.

- - - Добавлено - - -

смущает только avz, который reminder показывает

- - - Добавлено - - -

все обновил

[mike 1]

Что с проблемой?

[bugavka]

Левый пользователь не появляется. Вроде все в штатном режиме