-
Junior Member
- Вес репутации
- 62
Win32/Small или другой вирус
Прошу помочь. Не удивляйтесь что время поста такое. Вирус на сервере и я не могу позволить себе перезагружать его в рабочее время.
Кроме обязательных логов могу добавить, что ключ
Код:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "%System%\perfc000.dat"
удаляется легко, но сразу же появляется опять
Спасибо всем откликнувшимся.
Последний раз редактировалось Ven; 01.03.2008 в 18:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да... Дела хреновые...
Сейчас что-то будем думать...
-
-
Junior Member
- Вес репутации
- 62
Расскажите хоть примерно что там
-
Самая большая проблема это ошибки в SPI/LSP - AVZ их не корректно исправляет на серверах.
Первое что сделайте, это прочитайте и скачайте вот это -> http://www.virusinfo.info/showthread.php?t=10267
После этого вот такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('so1.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\Documents and Settings\adm\WINDOWS\system32\smss.exe','');
QuarantineFile('c:\windows\system32\rcssrv.exe','');
BC_DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('C:\WINDOWS\so1.dll');
BC_DeleteFile('C:\WINDOWS\system32\so1.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
После выполнения и перезагрузки нужны новые логи и карантин по правилам.
-
-
Junior Member
- Вес репутации
- 62
Что такое SPI/LSP?
Какую из них качать для Win 2003 Std RU?
Просто скачать на всякий случай или скачать и в случае проблем после выполнения скрипта нужно будет будет запустить и пофискить возникшие проблемы?
-
Просто скачать на всякий случай или скачать и в случае проблем после выполнения скрипта нужно будет будет запустить и пофискить возникшие проблемы?
Скачайте на всякий случай.
Какую из них качать для Win 2003 Std RU?
Качайте вот эту -> http://www.winsockfix.nl/winsockxpfix.exe
Долго объяснять - помоему в хелпе по AVZ об этом написано...
Читайте хелп по AVZ.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Ven; 01.03.2008 в 18:09.
-
Junior Member
- Вес репутации
- 62
Результат загрузки
Файл сохранён как 070801_091843_virus_46b017b3f2849.zip
Размер файла 95130
MD5 0d7660afb6e487773caebe8b7c45fa1d
Файл закачан, спасибо!
Добавлено через 6 часов 37 минут
Почему никто не отвечает?
Я что-то не так сделал или отчет показал что все чисто?
Последний раз редактировалось Ven; 01.08.2007 в 15:56.
Причина: Добавлено сообщение
-
Я понимаю что это сервер, но вы востановление системы отключили?
Если да, тогда пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)
O4 - HKLM\..\Run: [Install.exe] C:\WINDOWS\svchost.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
Плюс, выполните вот такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
BC_QrFile('C:\Documents and Settings\adm\WINDOWS\System32\smss.exe');
BC_QrFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('C:\WINDOWS\so1.dll');
BC_DeleteFile('C:\WINDOWS\system32\so1.dll');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_LogFile(GetAVZDirectory + 'bc_log.txt');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
После перезагрузки, пришлите нам карантин и файл bc_log.txt(он находится в папке AVZ), плюс нужны логи пп. 10-13 из правил.
-
-
Junior Member
- Вес репутации
- 62
вот три файлика, сейчас карантин сделаю
Последний раз редактировалось Ven; 01.03.2008 в 18:08.
-
Junior Member
- Вес репутации
- 62
Результат загрузки
Файл сохранён как 070801_222934_virus_46b0d10ea050f.zip
Размер файла 601
MD5 4fbbc7e917a592f63314c0d2be0182b0
Файл закачан, спасибо!
-
Ven, логи чистые.
На счёт SPI/LSP, прочитайте вот это -> http://www.virusinfo.info/showpost.p...61&postcount=2
-
-
Junior Member
- Вес репутации
- 62
Спасибо Вам огромное за помощь!
Прочитал, только не понял зачем мне это если все чисто. Или это просто информация?
-
Сообщение от
Ven
только не понял зачем мне это
Это обьясняет ошыбки в SPI/LSP.
-