На удаленном сервере Windows Server 2008 R2 Standard есть подозрение на вирус

[zvonchuk]

Добрый день.


На удаленном сервере Windows Server 2008 R2 Standard Service Pack 1 (64-bit) есть подозрение на вирус.
На локальном диске обнаружены вот такие папки:


C:\Windows\SysWOW64\inetsrv\site\doc
C:\Windows\SysWOW64\inetsrv\site\docs
C:\Windows\SysWOW64\inetsrv\site\Films
C:\Windows\SysWOW64\inetsrv\site\Series
C:\Windows\SysWOW64\inetsrv\site\XXX

На данный момент папка C:\Windows\SysWOW64\inetsrv\ весит 13.8 GB (14,882,272,447 bytes), в ней 325 файлов и 2376 папок.

Примерное содержимое папки:
C:\Windows\SysWOW64\inetsrv\site\doc\360.Degres.Ge o.Gene.Winfield.Le.Mecano.Des.Folles.Autos.DOC.FRE NCH.HDTV.XviD-TRACKS
C:\Windows\SysWOW64\inetsrv\site\docs\Au.Coeur.De. L.Amazonie.En.Route.Vers.L.Inconnu.DOC.FRENCH.PDTV .XViD-FTV
C:\Windows\SysWOW64\inetsrv\site\Films\Le.Temoin.A moureux.FRENCH.DVDRiP.XViD-KeDaL
C:\Windows\SysWOW64\inetsrv\site\Series\2.Broke.Gi rls.S01E02.FRENCH.LD.BDRip.XviD-JMT
C:\Windows\SysWOW64\inetsrv\site\XXX\My.First.Lesb ian.Experience.3.XXX.DVDRip.x264-CHiKANi


Логи AVZ и hijackthis приложены.

Спасибо заранее за помощь.

hijackthis.log
virusinfo_syscheck.zip

[Info_bot]

Уважаемый(ая) zvonchuk, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\installer\taskmgr.exe');
 TerminateProcessByName('c:\windows\dns\msdns.exe');
 TerminateProcessByName('c:\windows\syswow64\ldmgr.exe');
 QuarantineFile('C:\Windows\installer\mscomcti.dll','');
 QuarantineFile('c:\windows\installer\taskmgr.exe','');
 QuarantineFile('c:\windows\dns\msdns.exe','');
 QuarantineFile('c:\windows\syswow64\ldmgr.exe','');
 QuarantineFile('e:\datafeedmysql\datafeedmysql.exe','');
 QuarantineFile('C:\Windows\system32\firewall.exe','');
 DeleteFile('C:\Windows\system32\firewall.exe','32');
 DeleteFile('c:\windows\syswow64\ldmgr.exe','32');
 DeleteFile('c:\windows\dns\msdns.exe','32');
 DeleteFile('c:\windows\installer\taskmgr.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Уведомление

Смените администраторские пароли и пароли на средства удалённого администрирования!

Проверьте роли и сервисы, которые на сервере не должны быть включены, в первую очередь - IIS, ненужные - остановите и отключите. Если его используете, смените и его пароли.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте логи RSIT.

[zvonchuk]

Доброго дня,
выполнил первый пункт, сервер ушел на перезагрузку и не поднялся, жду помощи от хостера.

После того, как сервер будет запущен стоит ли мне повторить первый пункт или сразу переходить ко второму?

[Vvvyg]

Переходите ко второму.

[zvonchuk]

Переходите ко второму.

Доброго времени суток.

Сервер не запускается. Хостер сообщил что на черном экране виден только курсок мыши и больше ничего...
Что посоветуете делать в таком случае?

[Vvvyg]

Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".

[zvonchuk]

Попросите перезагрузить сервер, в самом начале загрузки по F8 выбрать "Последняя удачная конфигурация".

Написал хостеру, они сделали и отписались что ничего не изменилось.
Предлагают по новой установить ОС.

Скорее всего буду по новой ставить ОС.

У меня есть хоть какой то шанс приблизительно понять откуда и каким образом вирус(бэкдор) попал на сервер?