Периодические перезагрузки

[Dodge_sar]

Добрый день. Возникла неприятная ситуация - компьютер стал периодически самопроизвольно перезагружаться. Чистка утилитой CureIT помогла найти некоторые вирусы, но проблема не решилась, и через некоторое время вирусы появляются вновь. Этот компьютер - сервер на Win 2000 server. Работа с ним ведётся по удалёнке. Надеюсь на вашу помощь!

[Bratez]

Platform: Windows 2000 SP1 (WinNT 5.00.2195)

Доктор сказал - в морг...

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINNT\ghdrive32.exe
O4 - HKLM\..\Run: [heBwGQl] \LGDjl.exe
O4 - HKLM\..\Run: [Advanced HTTPL Enable] C:\Documents and Settings\Администратор\hddd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ybaS886PuG6WQ] \LGDjl.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINNT\ghdrive32.exe
O4 - HKUS\.DEFAULT\..\Run: [ybaS886PuG6WQ] \LGDjl.exe (User 'Default user')

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\xdx.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
 QuarantineFile('C:\WINNT\ghdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
 QuarantineFile('c:\winnt\ghdrive32.exe','');
 QuarantineFile('c:\winnt\system32\fvrgmt.exe','');
 DeleteFile('c:\winnt\system32\fvrgmt.exe');
 DeleteFile('c:\winnt\ghdrive32.exe');
 DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\WINNT\ghdrive32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
 DeleteFile('C:\WINNT\System32\37.exe');
 DeleteFile('C:\WINNT\System32\48.exe');
 DeleteFile('C:\WINNT\System32\68.scr');
 DeleteFile('C:\Documents and Settings\Администратор\hdcd.exe');
 DeleteFile('C:\xdx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100609).

Установите Service Pack 4, иначе лечить будем бесконечно.

Сделайте новые логи.

[Dodge_sar]

Спасибо за ответ.
Вопросик - скрипт не отключал службу RDP? Не могу подключиться удалённо.

[Dodge_sar]

Система загрузилась спустя много времени. Вирусы на месте судя по всему. Присылаю логи и карантин.

[Bratez]

Извиняюсь, я сразу не обратил внимания, что вы работаете с сервером в терминальной сессии...

Вирусы на месте судя по всему

Да, на месте. Боюсь, что так у нас ничего не выйдет. Во-первых, лечение и логи в AVZ необходимо делать локально. Во-вторых, очень желательно при этом быть в оффлайне, т.к. мы имеем дело с сетевым червем. А в-третьих, уж очень старая ОС, я даже не уверен, существует ли патч для Win2k, закрывающий эту уязвимость. Обязательно нужно поставить последний Service Pack и все обновления безопасности, вышедшие после него.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINNT\ghdrive32.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
 DeleteFile('c:\winnt\system\vmwareservice.exe');
 DeleteFile('C:\WINNT\System32\00.exe');
 DeleteFile('C:\WINNT\System32\08.exe');
 DeleteFile('C:\xdx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!

Сделайте новые логи, достаточно только п.2 и 3 раздела Диагностика.

[Dodge_sar]

Выполнил скрипт локально. Обновить пока не могу, займусь в ближайшее время этим вопросом, спасибо! Логи прикладываю. Спасибо.

[Bratez]

Заразы в логах больше не видно.

[Dodge_sar]

Была ещё зараза в темпах, я вроде вычистил. Посмотрю как будет. Спасибо за помощь!

Добавлено через 2 часа 17 минут

Перезагрузки остались.

[Bratez]

Перезагрузки остались.

Причины могут быть разные, в т.ч. и аппаратные.

В свойствах Системы уберите галку Выполнить автоматическую перезагрузку (не помню уже, как это выглядит в Win2k, надеюсь Вы понимаете о чем речь). При сбое тогда будет "синий экран", сообщите с него код ошибки - STOP 0x000000??
Если все равно перезагружается без BSOD'a, то 99% БП под замену.

[Dodge_sar]

При перезагрузке всё равно не выдает сообщений БСОД, перегрев исключен. Симптомы вирусов и перезагрузки появились в одно время. В Эвент логах пишет, что предыдущая перезагрузка была неожиданной.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Backdoor.Win32.Floder.fn ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.181791, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )
  2. c:\\winnt\\ghdrive32.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
  3. c:\\winnt\\system32\\fvrgmt.bak - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
  4. c:\\winnt\\system32\\00.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
  5. c:\\winnt\\system32\\08.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
  6. c:\\xdx.exe - Trojan.Win32.Menti.gesb ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Fakealert.25239, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )