Спасайте!

**NVPR** · 24.05.2017, 19:57

Здравствуйте! У нас Windows 2003 - он КД. С какого то момента стала резко тормозить локальная сеть, при этом RDP работает нормально. А сегодня вообще не достучаться до сервера, и к сетевым принтерам. Систему несколько раз пытался восстановить из архивов, не помогает. И еще не могу выполнить обновление ни какое, например KB4012598, пишет нет прав на обновление(до восстановления из архива успешно его установил). Прогонял Касперским, AdwCleaner и др. не помогает. В логах ничего криминального. Еще постоянно слетает агент Касперкого после перезагрузки, сам Секьюрити центр стоит на другом сервере.

Архив карантина пуст

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.05.2017, 19:58

Уважаемый(ая) NVPR, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**NVPR** · 24.05.2017, 21:30

вот

- - - - -Добавлено - - - - -

Все очень плохо?

- - - - -Добавлено - - - - -

И еще Kaspersky Endpoint перестал обновятся, 95% и все. Ой, нет, вот потребовал перезагрузку.

**NVPR** · 25.05.2017, 20:46

Для установки этого злосчастного обновления KB4012598, пришлось из него получить MSI. Ну а потом, оно установилось....

**Vvvyg** · 25.05.2017, 21:23

На самом сервере криминала не видно. Может, на других компьютерах черви гуляют?

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**NVPR** · 25.05.2017, 22:07

Спасибо. Все бы ничего. Конечно сейчас проверю. И даже лок.сетку думаю настою, где то на раб.станциях гадость =))). Но вот почему слетает агент Kaspersky Security Center после каждой перезагрузки сервера? Хотя это уже наверное не к Вам. Ну хоть проверили =))) Удачи...

**Vvvyg** · 25.05.2017, 22:32

То есть, дальше проверить сервер Вы не хотите, хоть я и предложил ещё логи сделать?

**NVPR** · 25.05.2017, 23:53

Ой, продолжим. Извините =))) Нужно, сейчас пришлю.

- - - - -Добавлено - - - - -

Кажется есть на что посмотреть

**mike 1** · 26.05.2017, 00:30

Сообщение от NVPR

Ой, продолжим. Извините =))) Нужно, сейчас пришлю.

- - - - -Добавлено - - - - -

Кажется есть на что посмотреть

Вспоминайте, что просили вас сделать и что прислали в итоге?

**NVPR** · 26.05.2017, 00:50

Сейчас. Извините, немного отвлекся.

- - - - -Добавлено - - - - -

Не то отправил =)))

- - - - -Добавлено - - - - -

Локальная сеть работает, исправил. Еще в Host, убрал owa(уже не используем). Или пока вообще ничего не делать? Дождаться ваших рекомендаций, так как восстановил из старого архива, много чего надо править.

**Vvvyg** · 26.05.2017, 07:03

Если восстановили из архива - все следы стёрты.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

Прикрепите этот файл к сообщению.

**NVPR** · 26.05.2017, 10:30

Выполнил

Поиск критических уязвимостей
Жизненный цикл Windows Server 2003 закончился

Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b

Обновление для системы безопасности Microsoft Office Word 2010
http://www.microsoft.com/downloads/d...2-62374aefe596

Уязвимости в Adobe Flash Player для Internet Explorer
https://fpdownload.adobe.com/get/fla..._player_ax.exe

Обнаружено уязвимостей: 4

- - - - -Добавлено - - - - -

Вот только, еще неприятность.

err11.jpg
не смог запустить AVZ. Пришлось через cmd/

- - - - -Добавлено - - - - -

Обновление поставил. Опять же через командную строку.

- - - - -Добавлено - - - - -

Стало намного лучше. Могу ставить обновления, по поводу агента Касперского не могу проверить(уже пользователи подключились), после трех часов перезагрузка. А вот с правами на запуск непонятно...

**Vvvyg** · 26.05.2017, 19:37

А из других папок пробовали запускать? Возможно, прав нет на папку, или политиками запрещён запуск из временных.
Кабы это не сервер, применили бы грубые, но действенные средства, а тут надо нежно, чтоб нужное не сковырнуть...

**NVPR** · 26.05.2017, 20:16

пробовал, не запускается

- - - - -Добавлено - - - - -

Мне бы АD перенести на другой. Тогда убил бы. Похоже с моими правами совсем плохо. Может мне нового админа завести?

- - - - -Добавлено - - - - -

Я согласен на грубые. Только очередной архив сделаю. Это минут 40.

- - - - -Добавлено - - - - -

Там еще когда то Exchange стоял, и остались следы.

**Vvvyg** · 27.05.2017, 08:31

Попробуйте нового админа создать.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**NVPR** · 27.05.2017, 18:45

https://yadi.sk/d/6a90BBDm3JaKJR - полный образ

Вообще домен очень старый больше 15 лет. Железо менялось, его все время перетаскивал. И теперь стоит задача перетащить на Win2012R2. Теперь это только файл сервер, ну и конечно КД.
Сейчас проблемы - это права; при перезагрузке слетает агент Касперского(пытался снести с помощью KLRemover - не удачно); и теперь еще следы от exhange(это после восстановления и старого архива, я его сносил еще года два назад, пока не удалю совсем не перетащить AD на другой сервер); добавилась какая то гадость в sysvol.

**Vvvyg** · 27.05.2017, 21:02

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
deldir %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER
regt 18
regt 35
regt 11
apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.

Но толку, думаю, не будет, разворачивайте новый сервер.

**NVPR** · 27.05.2017, 21:15

Так просто новый нельзя. Надо как минимум убить КД.

**Vvvyg** · 28.05.2017, 08:01

Вам не кажется, что мы сильно отклонились от тематики форума по лечению вирусов?

**NVPR** · 28.05.2017, 18:55

Да, Вы правы. Не гневайтесь. Поймите меня, чтобы найти "гадость", приходится много нервничать. Так вот, пришлось восстановить сервис DCOM. И после этого агент не слетает, но появился явный вирус, в файле C:\WINDOWS\SYSTEM32\MSCTFIME.IME(точно FW). А так же большое подозрение на неизвестный загрузчик SHA1.

https://yadi.sk/d/VX5GezTi3JbWpC ссылка на полный образ