Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

Помогите пожалуйста ... (заявка № 22656)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38

    Thumbs up Помогите пожалуйста ...

    Здравствуйте!
    Есть Windows Server 2000, на котором установлено спец. ПО Abbyy, а также настроен терминальный сервер.
    Сервер стал периодически неожидано завершать работу ночью либо под утро, то есть перезагружаться а системных событиях ничего нет/
    Есть подозрение на rootkit или троян.

    Помогите пожалуйста, Заранее спасибо .... (всех еще раз с праздником!!)
    Вложения Вложения
    Последний раз редактировалось tennisprof; 10.05.2008 в 10:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\Drivers\PsSdk30.drv','');
     QuarantineFile('deckzpsx.sys','');
     QuarantineFile('C:\WINNT\system32\Drivers\deckzpsx.sys','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\PBXCSYDFHJYEMJF.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\JINCSZRKZPGKCA.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\HHUXHD.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\HGGMA.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\BNWGCDEXKSSNP.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\AMZPKIW.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22656 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    помогите пожалуйста...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    На руткит не похоже.
    Проверяли свежим CureIt?
    Блок бесперебойного питания есть? Сервер настроен на выключение при разряде батареи?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    На руткит не похоже.
    зато похоже на непатченый Интернет Эксплорер
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  7. #6
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    Карантин выслал.

    Добавлено через 4 минуты

    Свежим cure.. проверял, по поводу блока бесперибойного питания не могу сказать.
    А как проверить настроен ли он на выключение при разряде батареи?

    Добавлено через 10 минут

    ой сори я два раз карантин вам отправил

    Добавлено через 10 минут

    А что теперь делать?
    Последний раз редактировалось tennisprof; 09.05.2008 в 18:08. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Карантин не тот пришел. Нужен карантин после выпонения скрипта. Все отметьте, что попадет в карантин после выполнения скрипта (приложение 3 правил), запакуйте в архив и вышлите.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    Отправил другой вариант, прелварительно почистив карантин после предыдущего запуска скрипта. Возможно эти данные перехватывал symantec, который после запуска скрипта и как бы сказать прям перед перезагрузкой писал об обнаружении troyan horse, но нелечил его данные такие: vdm3mtq3.sys
    имя вируса: troyan horse
    Исх путь c:\winnt\system32\Drivers/
    Для нового запуска данного скрипта, на время выключил symantec/
    Вы получили карантин?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Карантин пустой,vdm3mtq3.sys-это драйвер AVZ

  11. #10
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    что значит карантин пустой, сам открывал этот файл там в карантине около 10 значений

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Это значит что там только ini-файлы,после выполнения скрипта там были файлы с расширением dta?

  13. #12
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    его еще раз выполнить, потому что с dta был предыдущий карантин virus, еще выслал карантин
    Последний раз редактировалось tennisprof; 09.05.2008 в 19:42.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Попробуйте...

  15. #14
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    вот что у меня показывает, в прикрепленном файле скрин
    Изображения Изображения

  16. #15
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    что делать ... help
    ?
    Последний раз редактировалось tennisprof; 09.05.2008 в 20:20.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от tennisprof Посмотреть сообщение
    что делать ...
    Нажать Архивировать. Архив закачать.

  18. #17
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    да сделал я это, показывает она ini файлы в карантине после перезгрузки

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от tennisprof Посмотреть сообщение
    да сделал я это, показывает она ini файлы в карантине после перезгрузки
    Так размер файлов - 0 Byte или просто в картинку не влез?

  20. #19
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    37
    Вес репутации
    38
    архиватор должен стоять на серваке!!!!!!?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от tennisprof Посмотреть сообщение
    архиватор должен стоять на серваке!!!!!!?
    AFAIK- да .

  • Уважаемый(ая) tennisprof, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите пожалуйста
      От ekuz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2012, 13:07
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 15:49
    3. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23
    4. Помогите пожалуйста!
      От Девочка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2008, 21:31
    5. ПОЖАЛУЙСТА ПОМОГИТЕ
      От владик в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2008, 23:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00118 seconds with 17 queries