Помогите в лечении сервака
Стоит симантек, началось, что антивирус удалил файл locator.exe, якобы вирус.
После этого скачал Cureit, он нашел несколько разных вирусов. На компе через проводник не видео папку system32.
Просканировал Avz, логи прилагаю.
Еще с него не выйти в интернет, хотя с остальных компов нормально все.
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\inf\inc\IPSec\uti.exe',''); QuarantineFile('c:\windows\system32\drivers\cmd.exe',''); QuarantineFile('C:\WINDOWS\system\2.bat',''); QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys',''); QuarantineFile('C:\Program Files\Movie Maker\wmmresi.exe',''); QuarantineFile('C:\WINDOWS\System32\Langue.exe',''); QuarantineFile('C:\WINDOWS\system32\svchosta.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe',''); QuarantineFile('C:\oms\oms.exe',''); QuarantineFile('C:\WINDOWS\system32\Com\regadmin.exe',''); QuarantineFile('C:\WINDOWS\Locator.exe',''); QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe',''); QuarantineFile('C:\WINDOWS\System32\Srivers.dll',''); QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe',''); QuarantineFile('C:\WINDOWS\system32\Restore\sframer.exe',''); QuarantineFile('C:\WINDOWS\system32\Restore\srframes.exe',''); QuarantineFile('C:\WINDOWS\system32\Dir.exe',''); DeleteFile('C:\WINDOWS\system32\Dir.exe'); DeleteFile('C:\WINDOWS\Locator.exe'); DeleteFile('C:\WINDOWS\system32\Com\regadmin.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe'); DeleteFile('C:\WINDOWS\system32\svchosta.exe'); DeleteFile('C:\WINDOWS\System32\Langue.exe'); DeleteFile('C:\WINDOWS\system32\Restore\sframer.exe'); DeleteFile('C:\WINDOWS\system32\Restore\srframes.exe'); DeleteFile('C:\Program Files\Movie Maker\wmmresi.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys'); DeleteFile('C:\WINDOWS\system\2.bat'); DeleteFile('c:\windows\system32\drivers\cmd.exe'); DeleteFile('C:\WINDOWS\inf\inc\IPSec\uti.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Сделать логи снова
The worst foe lies within the self...
логи повторил, карантин подгрузил
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
- Выполните скрипт по возможности в безопасном режиме
После перезагрузки:Код:begin SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe',''); QuarantineFile('C:\WINDOWS\System32\Srivers.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe',''); QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Скрипт выполнил, при загрузке карантина, ошибка - файл уже загружен.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Srivers.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Сделать логи снова
Последний раз редактировалось Rene-gad; 21.03.2009 в 11:43. Причина: карантин не нужен.
Скрипт сделал. При загрузке карантина ошибка. Ошибка загрузки. Данный файл уже был загружен.
Сорри, не надо карантинЛоги повторные сделайте.
логи повторил
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('Windows Management Audio'); StopService('User Mode Driver Framework'); StopService('yvgmaatr'); QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe',''); QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys'); DeleteFile('C:\WINDOWS\system32\oobe\obeip.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\wdfmger.exe'); DeleteService('User Mode Driver Framework'); DeleteService('Windows Management Audio'); DeleteService('yvgmaatr'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('User Mode Driver Framework'); BC_DeleteSvc('Windows Management Audio'); BC_DeleteSvc('yvgmaatr'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделано
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите пункт 2 диагностики...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('yvgmaatr'); DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('yvgmaatr'); BC_Activate; RebootWindows(true); end.
выполнил
Последний раз редактировалось dwolfb; 17.12.2009 в 04:12.
Скачайте IceSword , поищите и скопируйте файл:
Скопированный с помощью IceSword файл сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\drivers\gfnpcx.sys
Потом удалите его с помощью force delete
Повторите скрипт Гриши и потом логи.
такого файла не оказалось.
кстати папка систем32 скрытая и ее видно только с файлового менеджера.
А похожий по имени и недавний по времени создания есть?Сообщение от dwolfb
т.е.? Вы ее из IseSword/File не видите?папка систем32 скрытая и ее видно только с файлового менеджера.
последний файл по дате создания летом создан. Папку не видно если через мой компьютер идти. В IseSword/File папка есть, а файла нет.
Еще интересная вещь. Интернета на серваке нет, хотя приходит кабель сюда первоначально, а на остальных компах в сети есть. При загрузке ругается на службу одну. Пока шло лечение, я пока не разбирался с этим, ибо возможно, что после лечения поправится. И во время лечения периодически ситуация менялась, на серваке появлялся интернет, но сеть и соответствено на остальных компах инет отрубался.
Добавлено через 5 часов 52 минуты
на этом все?
Последний раз редактировалось dwolfb; 22.03.2009 в 17:40. Причина: Добавлено
Это единственный файл. который находится у нас под подозрением. Если его нет, то на нет и суда нет.
Понял. Помониторю его недельку. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\netdsdm.sys - Trojan-Downloader.Win32.Hmir.ubb
- c:\windows\system32\srivers.dll - Backdoor.Win32.Hupigon.glia ( BitDefender: Trojan.Generic.1447087 )
Уважаемый(ая) dwolfb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
