В свое время сервер пострадал от хулигана trojan.encoder.94
Последствия его деятельности устранены утилитой te94decrypt.exe от Drweb
На сервере, до инцедента стоял Symantec SEP v. 11 c антивирусными базами на середину октября 2011 (жадное начальство не желало платить за продление лицензии).
Предыстория:
Куплена лицензия на Symantec SEP v. 12
Ранее установленный Symantec SEP v. 11 - деинсталируется, сервер перезагружается.
Запускается установка Symantec SEPM v.12 - продукт устанавливается без сообщений об ошибках.
После установки Symantec SEPM v.12 автоматически запускается менеджер конфигурации прдукта.
На одном из этапов (момент настройки встроенной базы данных) продукт сообщает о том, что подключиться к файлу не удается (хотя при установке файл с чистой базой создается) - работа менеджера прекращается - продукт не работоспособен.
Мои соображения - отсались следы пребывания предыдущей установки.
Выкачивается утилита Norton Removal Tool - утилита ручного удаления предыдущих продуктов.
Запускается утилита - ОС выплевывает ошибку:
Runtime error!
Programm D:\SymNRT.exe
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
В логах ОС:
Event Type: Error
Event Source: Application Error
Event Category: (100)
Event ID: 1000
Date: 02.04.2012
Time: 11:43:23
User: N/A
Computer: SERVER-ET
Description:
Faulting application SymNRT.exe, version 2012.0.5.15, faulting module SymNRT.exe, version 2012.0.5.15, fault address 0x0004d42a.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 53 79 6d ure Sym
0018: 4e 52 54 2e 65 78 65 20 NRT.exe
0020: 32 30 31 32 2e 30 2e 35 2012.0.5
0028: 2e 31 35 20 69 6e 20 53 .15 in S
0030: 79 6d 4e 52 54 2e 65 78 ymNRT.ex
0038: 65 20 32 30 31 32 2e 30 e 2012.0
0040: 2e 35 2e 31 35 20 61 74 .5.15 at
0048: 20 6f 66 66 73 65 74 20 offset
0050: 30 30 30 34 64 34 32 61 0004d42a
Во вложении файл с собранной скриптом AVZ4 информацией для этого раздела.
Последний раз редактировалось Arikite; 02.04.2012 в 12:28.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Arikite, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уважаемый(ая) Arikite, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: