Собственно проблема в заголовке. Соединение идут по порту 25, на разные ip адреса. Сервер работает как терминальный.
Очень надеюсь на Вашу помощь.
Собственно проблема в заголовке. Соединение идут по порту 25, на разные ip адреса. Сервер работает как терминальный.
Очень надеюсь на Вашу помощь.
Уважаемый(ая) geek_tmb, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
c:\programdata\schedule\timetasks.exe сами устанавливали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполните скрипт в AVZ:Перезагрузите сервер вручную.Код:begin TerminateProcessByName('c:\programdata\schedule\timetasks.exe'); QuarantineFile('c:\programdata\schedule\timetasks.exe',''); DeleteFile('c:\programdata\schedule\timetasks.exe','32'); DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9U7C6V4J5D2GZYVGYDEAAENRGNLP','command'); DeleteFileMask('c:\programdata\schedule','*',true); DeleteDirectory('c:\programdata\schedule'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Сделал
Похоже, что взломан сервер...
Это хозяйство:Ваше?Код:C:\DOCUMENTS AND SETTINGS\SINA\РАБОЧИЙ СТОЛ\HIDEN\HIDE_USER.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDE_USER.EXE
Выполните скрипт в uVS:Перезагрузите сервер вручную.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\INSTL_TMP.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\INSTL_TMP.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\TPQLKSLN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\TPQLKSLN.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE delall %SystemDrive%\PROGRA~2\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE delref HTTP://US.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://WWW.YAHOO.COM zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DESKTOPY.RU\DESKTOPY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DESKTOPY.RU\DESKTOPY.EXE delref HTTP://WWW.YAHOO.COM/?ILC=8 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\PROJECT1.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\PROJECT1.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\PROJECT1.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\PROJECT1.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR GAMES BROWSER.LNK del %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR UPDATE.LNK zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\ZAXARSETUP.4.001.29.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\LOCAL SETTINGS\TEMP\ZAXARSETUP.4.001.29.EXE zoo %SystemDrive%\ERTDLL\SMS.EXE delall %SystemDrive%\ERTDLL\SMS.EXE deltmp czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Проверьте, что с соединениями по 25-му порту.
Сделайте новый полный образ автозапуска uVS.
И, чтобы не повторяться - http://virusinfo.info/showthread.php...=1#post1160323 - рекомендации по безопасности читайте и обдумывайте, скрипт там не для вашей ситуации, естественно.
WBR,
Vadim
Не наше.
Соединение по 25 порту прекратились.
- - - - -Добавлено - - - - -
Снова соединения возобноволись, по ощущениям их стало чуть меньше. Учетки кроме админской временно заблокировал, пароль админа изменил.
Выполните скрипт в UVS:Перезагрузка, загрузите свежий карантин (ZOO_).Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ZZIIVNWU.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\ZZIIVNWU.EXE czoo
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Архив с карантином почему то не появляется после выполнения скрипта
Давайте свежий образ, много времени прошло...
WBR,
Vadim
Выполните скрипт в UVS:И сразу перезагружайте сервер в безопасный режим с поддержкой сети.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\GGPPCUDB.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\GGPPCUDB.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YAHOO!\COMPANION\INSTALLS\CPN2\VISIC_COUPON.DLL czoo
ZOO_ загрузите в карантин, новый образ - на rghost.
Не загружайте сервер в обычном режиме до получения следующих указаний, ответить постараюсь максимально быстро.
WBR,
Vadim
Карантин загрузил, сервер в безопасном
Новый образ сделайте. Можно без проверки цифровых подписей, чтоб быстрее.
WBR,
Vadim
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\DDMMZRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКОЛАЙ\DDMMZRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE ; C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE bl 61906E6487DE400288A10FB0A88B26AE 311599 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\НОВАЯ ПАПКА\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\НОВАЯ ПАПКА\EXPLORER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\НОВАЯ ПАПКА\EXPLORER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\MAIL (1)\EXPLORER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINSSS\МОИ ДОКУМЕНТЫ\DOWNLOADS\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDDEN-USER.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\SINA\РАБОЧИЙ СТОЛ\HIDEN\HIDE_USER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\РАБОЧИЙ СТОЛ\HIDE_USER.EXE czoo
Перезагрузите сервер, загрузите новый карантин и сделайте новый полный образ автозапуска.
WBR,
Vadim
http://rghost.ru/58143191
Загрузил также в безопасном
Выполните скрипт в UVS:Перезагрузите сервер, посмотрите - в папке C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\ имеются файлы SMSS.EXE, WAAGENT.EXE, WASPPACER.EXE ? Там путь кривой, утилита из-за этого не справляется. Попробуйте Unlocker, или просто вручную удалить или переименовать всю эту папку.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v383c del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\SMSS.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WAAGENT.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*\WASPPACER.EXE deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ИЗБРАННОЕ\*
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- \ddmmzray.exe._cc23af3d38ac926bca243ff62c51aa3435f f90bb - Backdoor.Win32.Tofsee.so
- \explorer.exe._317a49e029bbc2cd0aadbc5072431f11576 5d91c - Trojan.Win32.Refroso.hgbe ( BitDefender: Trojan.GenericKD.1596674, AVAST4: Win32:Malware-gen )
- \ggppcudb.exe._e35b45338b6239b713ee2b95ee7a2ccace1 2ca86 - Trojan-Dropper.Win32.Dorifel.amnm ( BitDefender: Gen:Variant.Graftor.156651, AVAST4: Win32:Malware-gen )
- \tpqlksln.exe._62c2d90d7e2689d7701d480caeb894eeaba f44ab - Worm.Win32.WBNA.asei ( AVAST4: Win32:VB-AIMY [Trj] )
Уважаемый(ая) geek_tmb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.