Показано с 1 по 8 из 8.

На удаленном сервере Windows Server 2008 R2 Standard есть подозрение на вирус (заявка № 142464)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2013
    Сообщений
    5
    Вес репутации
    17

    На удаленном сервере Windows Server 2008 R2 Standard есть подозрение на вирус

    Добрый день.


    На удаленном сервере Windows Server 2008 R2 Standard Service Pack 1 (64-bit) есть подозрение на вирус.
    На локальном диске обнаружены вот такие папки:


    C:\Windows\SysWOW64\inetsrv\site\doc
    C:\Windows\SysWOW64\inetsrv\site\docs
    C:\Windows\SysWOW64\inetsrv\site\Films
    C:\Windows\SysWOW64\inetsrv\site\Series
    C:\Windows\SysWOW64\inetsrv\site\XXX

    На данный момент папка C:\Windows\SysWOW64\inetsrv\ весит 13.8 GB (14,882,272,447 bytes), в ней 325 файлов и 2376 папок.

    Примерное содержимое папки:
    C:\Windows\SysWOW64\inetsrv\site\doc\360.Degres.Ge o.Gene.Winfield.Le.Mecano.Des.Folles.Autos.DOC.FRE NCH.HDTV.XviD-TRACKS
    C:\Windows\SysWOW64\inetsrv\site\docs\Au.Coeur.De. L.Amazonie.En.Route.Vers.L.Inconnu.DOC.FRENCH.PDTV .XViD-FTV
    C:\Windows\SysWOW64\inetsrv\site\Films\Le.Temoin.A moureux.FRENCH.DVDRiP.XViD-KeDaL
    C:\Windows\SysWOW64\inetsrv\site\Series\2.Broke.Gi rls.S01E02.FRENCH.LD.BDRip.XviD-JMT
    C:\Windows\SysWOW64\inetsrv\site\XXX\My.First.Lesb ian.Experience.3.XXX.DVDRip.x264-CHiKANi


    Логи AVZ и hijackthis приложены.

    Спасибо заранее за помощь.

    hijackthis.log
    virusinfo_syscheck.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) zvonchuk, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,132
    Вес репутации
    847
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\windows\installer\taskmgr.exe');
     TerminateProcessByName('c:\windows\dns\msdns.exe');
     TerminateProcessByName('c:\windows\syswow64\ldmgr.exe');
     QuarantineFile('C:\Windows\installer\mscomcti.dll','');
     QuarantineFile('c:\windows\installer\taskmgr.exe','');
     QuarantineFile('c:\windows\dns\msdns.exe','');
     QuarantineFile('c:\windows\syswow64\ldmgr.exe','');
     QuarantineFile('e:\datafeedmysql\datafeedmysql.exe','');
     QuarantineFile('C:\Windows\system32\firewall.exe','');
     DeleteFile('C:\Windows\system32\firewall.exe','32');
     DeleteFile('c:\windows\syswow64\ldmgr.exe','32');
     DeleteFile('c:\windows\dns\msdns.exe','32');
     DeleteFile('c:\windows\installer\taskmgr.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    information

    Уведомление

    Смените администраторские пароли и пароли на средства удалённого администрирования!


    Проверьте роли и сервисы, которые на сервере не должны быть включены, в первую очередь - IIS, ненужные - остановите и отключите. Если его используете, смените и его пароли.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    Сделайте логи RSIT.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    23.07.2013
    Сообщений
    5
    Вес репутации
    17
    Доброго дня,
    выполнил первый пункт, сервер ушел на перезагрузку и не поднялся, жду помощи от хостера.

    После того, как сервер будет запущен стоит ли мне повторить первый пункт или сразу переходить ко второму?

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,132
    Вес репутации
    847
    Переходите ко второму.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    23.07.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Переходите ко второму.
    Доброго времени суток.

    Сервер не запускается. Хостер сообщил что на черном экране виден только курсок мыши и больше ничего...
    Что посоветуете делать в таком случае?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,132
    Вес репутации
    847
    Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    23.07.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".
    Написал хостеру, они сделали и отписались что ничего не изменилось.
    Предлагают по новой установить ОС.

    Скорее всего буду по новой ставить ОС.

    У меня есть хоть какой то шанс приблизительно понять откуда и каким образом вирус(бэкдор) попал на сервер?

  • Уважаемый(ая) zvonchuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 30.05.2013, 14:45
    2. Ответов: 2
      Последнее сообщение: 08.02.2013, 11:52
    3. Windows server 2003 standard edition
      От CHIV в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:28
    4. Антивирус на Windows server 2003 standard
      От solongoy в разделе Антивирусы
      Ответов: 10
      Последнее сообщение: 06.06.2008, 12:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01232 seconds with 17 queries