Вчера заразился сервак (Windows 2003 Server) неизвестной заразой которая заражает собой все exe-шники, подменяет системные файлы и не дает установить и запустить NOD, Kaspersky, AVZ (с оригинальным именем exe-шника). А также не запускаеться безопасный режим а при попытке запуска сканера NOD жестко перегружает систему.
Последний раз редактировалось hacsas; 16.04.2008 в 13:06.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Затем скачать заново AVZ и HijackThis и повторить логи.
Пришлите по правилам файл:
C:\WINDOWS\system32\winspool.dll
Попробую 1-им способом однако есть несколько проблем:
1. Невозможно загрузиться в безопасном режиме (севрер перегужаеться)
2. Неизвестный вирус даже не дает закачать и запустить CureIT (закачка зависает)
3. На сервере винчестеры SCSI в RAID массиве.
Файла C:\WINDOWS\system32\winspool.dll я не нашёл.
1. На худой конец можно в обычном режиме для начала.
2. Там же написано: скачать на другом компьютере, распаковать и записать на CD. А на своем запускать прямо с CD (_start.exe).
3. Это роли не играет.
1. На худой конец можно в обычном режиме для начала.
2. Там же написано: скачать на другом компьютере, распаковать и записать на CD. А на своем запускать прямо с CD (_start.exe).
3. Это роли не играет.
В обычном режиме после запуска CureIT сразу его закрывает.
Счас гружусь с INFRACD буду запускать CureIT оттуда.
Добавлено через 57 минут
Запускал на сканирование самым свежим CureIT, результат - ничего не найдено.
Счас запустил Kaspersky Removal Tool может он найдет что-то.
Странно. Может у меня какой-то самый свежий RootKit?
Последний раз редактировалось hacsas; 16.04.2008 в 12:53.
Причина: Добавлено
Запускал на сканирование самым свежим CureIT, результат - ничего не найдено.
Счас запустил Kaspersky Removal Tool может он найдет что-то.
Странно. Может у меня какой-то самый свежий RootKit?
Вы точно запускали полную проверку компьютера?
У вас не rootkit, а файловый вирус.
Добавлено через 1 минуту
Пришлите по правилам какой-нибудь зараженный exe-шник, например тот avz.exe, которым логи делали.
Последний раз редактировалось Bratez; 16.04.2008 в 13:00.
Причина: Добавлено
Отправьте любой exe файл аналитикам Dr.Web (http://support.drweb.com/sendnew/) они добавят процедуру лечения,затем скачайте обновленный CureIT со здоровой системы,запишите на CD и провертесь в безопасном режиме,увы но других вариантов нет из распространенных вендоров его ни кто не знает.
Удалось загрузить сервер в безопасном режиме путем восстановления ветки реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot
которая была уничтожена вирусом для невозможности загрузки в безопасном режиме использовалось описание: http://safe.cnews.ru/bugtrack/entry/...8/01/14/105272
В безопасном режиме был запущен AVZ. Вот новые логи.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: