-
Junior Member
- Вес репутации
- 40
На удаленном сервере Windows Server 2008 R2 Standard есть подозрение на вирус
Добрый день.
На удаленном сервере Windows Server 2008 R2 Standard Service Pack 1 (64-bit) есть подозрение на вирус.
На локальном диске обнаружены вот такие папки:
C:\Windows\SysWOW64\inetsrv\site\doc
C:\Windows\SysWOW64\inetsrv\site\docs
C:\Windows\SysWOW64\inetsrv\site\Films
C:\Windows\SysWOW64\inetsrv\site\Series
C:\Windows\SysWOW64\inetsrv\site\XXX
На данный момент папка C:\Windows\SysWOW64\inetsrv\ весит 13.8 GB (14,882,272,447 bytes), в ней 325 файлов и 2376 папок.
Примерное содержимое папки:
C:\Windows\SysWOW64\inetsrv\site\doc\360.Degres.Ge o.Gene.Winfield.Le.Mecano.Des.Folles.Autos.DOC.FRE NCH.HDTV.XviD-TRACKS
C:\Windows\SysWOW64\inetsrv\site\docs\Au.Coeur.De. L.Amazonie.En.Route.Vers.L.Inconnu.DOC.FRENCH.PDTV .XViD-FTV
C:\Windows\SysWOW64\inetsrv\site\Films\Le.Temoin.A moureux.FRENCH.DVDRiP.XViD-KeDaL
C:\Windows\SysWOW64\inetsrv\site\Series\2.Broke.Gi rls.S01E02.FRENCH.LD.BDRip.XviD-JMT
C:\Windows\SysWOW64\inetsrv\site\XXX\My.First.Lesb ian.Experience.3.XXX.DVDRip.x264-CHiKANi
Логи AVZ и hijackthis приложены.
Спасибо заранее за помощь.
hijackthis.log
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) zvonchuk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\windows\installer\taskmgr.exe');
TerminateProcessByName('c:\windows\dns\msdns.exe');
TerminateProcessByName('c:\windows\syswow64\ldmgr.exe');
QuarantineFile('C:\Windows\installer\mscomcti.dll','');
QuarantineFile('c:\windows\installer\taskmgr.exe','');
QuarantineFile('c:\windows\dns\msdns.exe','');
QuarantineFile('c:\windows\syswow64\ldmgr.exe','');
QuarantineFile('e:\datafeedmysql\datafeedmysql.exe','');
QuarantineFile('C:\Windows\system32\firewall.exe','');
DeleteFile('C:\Windows\system32\firewall.exe','32');
DeleteFile('c:\windows\syswow64\ldmgr.exe','32');
DeleteFile('c:\windows\dns\msdns.exe','32');
DeleteFile('c:\windows\installer\taskmgr.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Проверьте роли и сервисы, которые на сервере не должны быть включены, в первую очередь - IIS, ненужные - остановите и отключите. Если его используете, смените и его пароли.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте логи RSIT.
-
-
Junior Member
- Вес репутации
- 40
Доброго дня,
выполнил первый пункт, сервер ушел на перезагрузку и не поднялся, жду помощи от хостера.
После того, как сервер будет запущен стоит ли мне повторить первый пункт или сразу переходить ко второму?
-
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
Vvvyg
Переходите ко второму.
Доброго времени суток.
Сервер не запускается. Хостер сообщил что на черном экране виден только курсок мыши и больше ничего...
Что посоветуете делать в таком случае?
-
Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
Vvvyg
Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".
Написал хостеру, они сделали и отписались что ничего не изменилось.
Предлагают по новой установить ОС.
Скорее всего буду по новой ставить ОС.
У меня есть хоть какой то шанс приблизительно понять откуда и каким образом вирус(бэкдор) попал на сервер?