БСОД прокси сервера

**Terny** · 16.12.2008, 10:29

Есть сервер на win2003, на котором функция прокси (RAS+трафик инспектор) и базы гарант+консультант. Никаких антивирусов и файерволов не было. Работало стабильно, перезагружался очень редко и в основном по причине перебоя с электричеством. Пока я был в отъезде, пришла девушка и обновила консультант, ну естественно вставляла флэшку в сервак. Это было 5 дней назад. Вчера система после перезагрузки ушла в бсод, ладно хоть грузилось в безопасном режиме. Система ругалась на c:\windows\system32\drivers\sysdrv32.sys.
Удалял этот файл в безопасном режиме, но он все равно появляется. Есть другой по железу точно такой же сервер, на нем AD+DNS+DHCP, на нем нет такого файла.
Сервак удалось восстановить в рабочее состояние:
1) снял винт, прогнал свежеустановленным и обновленным KIS2009
2) посредством переустановки драйверов материнки (asus p5n32sli).
Но все равно хотелось бы услышать мнение специалистов на этот счет, поскольку этот sysdrv32.sys все еще сидит в системе.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**light59** · 16.12.2008, 10:39

Сделайте логи по правилам. http://virusinfo.info/showthread.php?t=1235.А там посмотрим

**Terny** · 16.12.2008, 11:52

Высылаю логи и файл карантина. В первый раз видимо не прошло.

**PavelA** · 16.12.2008, 12:42

Карантин отсылать по http://virusinfo.info/upload_virus.php?tid=35758
Из мсж его надо удалить.

Добавлено через 5 минут

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('WinHost32Svr');
 DeleteService('sysdrv32');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('C:\WINDOWS\security\svchost.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\WINDOWS\security\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

сделать новые логи.
Если что-то попадет в карантин, то прислать.

**Terny** · 16.12.2008, 14:40

Выполнил скрипт, sysdrv32.sys больше не появляется. Спасибо за помошь!

**Гриша** · 16.12.2008, 14:44

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\srwsvc.sys','');
BC_ImportQuarantineList;
BC_QrSvc('srwsvc');    
BC_Activate;
RebootWindows(true);
end.

Загрузите карантин...

**Terny** · 17.12.2008, 13:21

Выполнил скрипт. Появилась dll-ка. Высылаю карантин и логи.

**PavelA** · 17.12.2008, 13:45

Trojan.Win32.Agent.tkh было удалено.

**Terny** · 18.12.2008, 07:40

Прогнал диск DrWeb-ом: он нашел трояны:
c:\windows\system32\x.exe
Trojan.Download.29270
c:\C:\Documents and Settings\Default User\Local Settings\Temporary Internet
Files\Content.IE5\5SFHKP16\xwkf[1].jpg
Trojan.Download.16849
Прислать их?