-
Junior Member
- Вес репутации
- 51
Периодические перезагрузки
Добрый день. Возникла неприятная ситуация - компьютер стал периодически самопроизвольно перезагружаться. Чистка утилитой CureIT помогла найти некоторые вирусы, но проблема не решилась, и через некоторое время вирусы появляются вновь. Этот компьютер - сервер на Win 2000 server. Работа с ним ведётся по удалёнке. Надеюсь на вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Platform:
Windows 2000 SP1 (WinNT 5.00.2195)
Доктор сказал - в морг...
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINNT\ghdrive32.exe
O4 - HKLM\..\Run: [heBwGQl] \LGDjl.exe
O4 - HKLM\..\Run: [Advanced HTTPL Enable] C:\Documents and Settings\Администратор\hddd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ybaS886PuG6WQ] \LGDjl.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINNT\ghdrive32.exe
O4 - HKUS\.DEFAULT\..\Run: [ybaS886PuG6WQ] \LGDjl.exe (User 'Default user')
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\xdx.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
QuarantineFile('C:\WINNT\ghdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
QuarantineFile('c:\winnt\ghdrive32.exe','');
QuarantineFile('c:\winnt\system32\fvrgmt.exe','');
DeleteFile('c:\winnt\system32\fvrgmt.exe');
DeleteFile('c:\winnt\ghdrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINNT\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('C:\WINNT\System32\37.exe');
DeleteFile('C:\WINNT\System32\48.exe');
DeleteFile('C:\WINNT\System32\68.scr');
DeleteFile('C:\Documents and Settings\Администратор\hdcd.exe');
DeleteFile('C:\xdx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100609).
Установите Service Pack 4, иначе лечить будем бесконечно.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Спасибо за ответ.
Вопросик - скрипт не отключал службу RDP? Не могу подключиться удалённо.
-
Junior Member
- Вес репутации
- 51
Система загрузилась спустя много времени. Вирусы на месте судя по всему. Присылаю логи и карантин.
-
Извиняюсь, я сразу не обратил внимания, что вы работаете с сервером в терминальной сессии...
Сообщение от
Dodge_sar
Вирусы на месте судя по всему
Да, на месте. Боюсь, что так у нас ничего не выйдет. Во-первых, лечение и логи в AVZ необходимо делать локально. Во-вторых, очень желательно при этом быть в оффлайне, т.к. мы имеем дело с сетевым червем. А в-третьих, уж очень старая ОС, я даже не уверен, существует ли патч для Win2k, закрывающий эту уязвимость. Обязательно нужно поставить последний Service Pack и все обновления безопасности, вышедшие после него.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\ghdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
DeleteFile('c:\winnt\system\vmwareservice.exe');
DeleteFile('C:\WINNT\System32\00.exe');
DeleteFile('C:\WINNT\System32\08.exe');
DeleteFile('C:\xdx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится!
Сделайте новые логи, достаточно только п.2 и 3 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Выполнил скрипт локально. Обновить пока не могу, займусь в ближайшее время этим вопросом, спасибо! Логи прикладываю. Спасибо.
-
Заразы в логах больше не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Была ещё зараза в темпах, я вроде вычистил. Посмотрю как будет. Спасибо за помощь!
Добавлено через 2 часа 17 минут
Перезагрузки остались.
Последний раз редактировалось Dodge_sar; 12.04.2011 в 21:05.
Причина: Добавлено
-
Сообщение от
Dodge_sar
Перезагрузки остались.
Причины могут быть разные, в т.ч. и аппаратные.
В свойствах Системы уберите галку Выполнить автоматическую перезагрузку (не помню уже, как это выглядит в Win2k, надеюсь Вы понимаете о чем речь). При сбое тогда будет "синий экран", сообщите с него код ошибки - STOP 0x000000??
Если все равно перезагружается без BSOD'a, то 99% БП под замену.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
При перезагрузке всё равно не выдает сообщений БСОД, перегрев исключен. Симптомы вирусов и перезагрузки появились в одно время. В Эвент логах пишет, что предыдущая перезагрузка была неожиданной.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Backdoor.Win32.Floder.fn ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KD.181791, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )
- c:\\winnt\\ghdrive32.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
- c:\\winnt\\system32\\fvrgmt.bak - Backdoor.Win32.IRCBot.tfg ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.6140457, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-STI [Trj] )
- c:\\winnt\\system32\\00.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
- c:\\winnt\\system32\\08.exe - Trojan.Win32.Menti.gesa ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.182426, NOD32: IRC/SdBot trojan, AVAST4: Win32:FakeAlert-AFK [Trj] )
- c:\\xdx.exe - Trojan.Win32.Menti.gesb ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Fakealert.25239, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:FakeAlert-AFK [Trj] )
-