Показано с 1 по 11 из 11.

Вылечить сервер БД (заявка № 41464)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    44
    Вес репутации
    56

    Exclamation Вылечить сервер БД

    Вобщем не смейтесь, сервер Win2000Serv с БД SQL, на нем работали юзеры с правами админа, результат в логах

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вобщем так. Я беру в карантин небольшую кучку, а там уж будем разбираться.
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('windowszupdate.exe','');
     QuarantineFile('taskmgnr.exe','');
     QuarantineFile('spread.exe','');
     QuarantineFile('ddccc.dll','');
     QuarantineFile('C:\windows\adtech2006.exe','');
     QuarantineFile('C:\WINNT\system32\svchost.dll','');
     QuarantineFile('C:\WINNT\system32\steam.dll','');
     QuarantineFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe','');
     QuarantineFile('C:\WINNT\xOXt6PE\command.exe','');
     QuarantineFile('c:\program files\outws nt\untshell.exe','');
     ClearHostsFile;
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин через http://virusinfo.info/upload_virus.php?tid=41464
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    44
    Вес репутации
    56
    ок, сделаем

    Карантин загружен, ссори за задержку, сервак в другом месте стоит.
    Последний раз редактировалось Rene-gad; 12.03.2009 в 19:51.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\windows\adtech2006.exe');
     DeleteFile('C:\WINNT\system32\svchost.dll');
     DeleteFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe');
     DeleteFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe');
     DeleteFile('C:\WINNT\xOXt6PE\command.exe');
     DeleteFile('c:\program files\outws nt\untshell.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    То, что попалось:
    0001.dta,
    untshell_0.exe - Trojan.Win32.Crypt.t
    ulicisvc.exe - Packed.Win32.NSAnti.r
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    44
    Вес репутации
    56
    Все сделал, загружаю логи. Еще раз ссори за медленную реакцию, сервак в другом месте города и приходится ездить к нему.

  8. #7
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    44
    Вес репутации
    56
    Народ, а дальше т о что?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - (no file)
    O4 - HKLM\..\Run: [Microsoft sdDDE Control] taskmgnr.exe
    O4 - HKLM\..\Run: [WinDLL (kky32.dll)] rundll32.exe C:\WINNT\system32\kky32.dll,start
    O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINNT\system32\steam.dll,start
    O4 - HKLM\..\Run: [winsystems25] spread.exe
    O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINNT\system32\v4mon.dll,start
    O4 - HKLM\..\RunServices: [winsystems25] spread.exe
    O4 - HKUS\.DEFAULT\..\Run: [WindowsRegisKey update] windowszupdate.exe (User 'Default user')
    O20 - Winlogon Notify: ddccc - ddccc.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\v4mon.dll','');
     QuarantineFile('C:\WINNT\system32\kky32.dll','');
     QuarantineFile('windowszupdate.exe','');
     QuarantineFile('spread.exe','');
     QuarantineFile('taskmgnr.exe','');
     QuarantineFile('ddccc.dll','');
     DeleteFile('C:\Program Files\Outws nt\untshell.bak');
     DeleteFile('C:\Program Files\Outws nt\ulicisvc.exe');
     DeleteFile('windowszupdate.exe');
     DeleteFile('ddccc.dll');
     DeleteFile('taskmgnr.exe');
     DeleteFile('spread.exe');
     DeleteFile('C:\WINNT\system32\kky32.dll');
     DeleteFile('C:\WINNT\system32\v4mon.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    25.02.2009
    Сообщений
    44
    Вес репутации
    56
    Вот логи и карантин.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    IE обновите до версии IE 6 SP1a.
    В логах сейчас ничего подозрительного.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\outws nt\ulicisvc.exe - Packed.Win32.NSAnti.r( DrWEB: Adware.Apropos )
      2. c:\program files\outws nt\untshell.exe - Trojan.Win32.Crypt.t( DrWEB: Adware.Apropos, BitDefender: Gen:Trojan.Heur.93F7081D6D )


  • Уважаемый(ая) GDE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. DNS-сервер не твечает
      От Николай Воронов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.06.2012, 01:32
    2. Заразился сервер
      От Naz1st в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.11.2010, 09:55
    3. Не сервер.
      От Ragnar в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.10.2010, 18:06
    4. Сервер
      От SmallEvil в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.09.2009, 21:53
    5. Сервер виснет....
      От ramzes31rus в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.03.2009, 19:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01197 seconds with 19 queries