-
Junior Member
- Вес репутации
- 57
Помогите в лечении сервака
Стоит симантек, началось, что антивирус удалил файл locator.exe, якобы вирус.
После этого скачал Cureit, он нашел несколько разных вирусов. На компе через проводник не видео папку system32.
Просканировал Avz, логи прилагаю.
Еще с него не выйти в интернет, хотя с остальных компов нормально все.
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inf\inc\IPSec\uti.exe','');
QuarantineFile('c:\windows\system32\drivers\cmd.exe','');
QuarantineFile('C:\WINDOWS\system\2.bat','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys','');
QuarantineFile('C:\Program Files\Movie Maker\wmmresi.exe','');
QuarantineFile('C:\WINDOWS\System32\Langue.exe','');
QuarantineFile('C:\WINDOWS\system32\svchosta.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe','');
QuarantineFile('C:\oms\oms.exe','');
QuarantineFile('C:\WINDOWS\system32\Com\regadmin.exe','');
QuarantineFile('C:\WINDOWS\Locator.exe','');
QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
QuarantineFile('C:\WINDOWS\System32\Srivers.dll','');
QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
QuarantineFile('C:\WINDOWS\system32\Restore\sframer.exe','');
QuarantineFile('C:\WINDOWS\system32\Restore\srframes.exe','');
QuarantineFile('C:\WINDOWS\system32\Dir.exe','');
DeleteFile('C:\WINDOWS\system32\Dir.exe');
DeleteFile('C:\WINDOWS\Locator.exe');
DeleteFile('C:\WINDOWS\system32\Com\regadmin.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\NetDSDM.exe');
DeleteFile('C:\WINDOWS\system32\svchosta.exe');
DeleteFile('C:\WINDOWS\System32\Langue.exe');
DeleteFile('C:\WINDOWS\system32\Restore\sframer.exe');
DeleteFile('C:\WINDOWS\system32\Restore\srframes.exe');
DeleteFile('C:\Program Files\Movie Maker\wmmresi.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\NetDSDM.sys');
DeleteFile('C:\WINDOWS\system\2.bat');
DeleteFile('c:\windows\system32\drivers\cmd.exe');
DeleteFile('C:\WINDOWS\inf\inc\IPSec\uti.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Сделать логи снова
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 57
логи повторил, карантин подгрузил
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
-
- Выполните скрипт по возможности в безопасном режиме
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
QuarantineFile('C:\WINDOWS\System32\Srivers.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe','');
QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил, при загрузке карантина, ошибка - файл уже загружен.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Srivers.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2.Сделать логи снова
Последний раз редактировалось Rene-gad; 21.03.2009 в 11:43.
Причина: карантин не нужен.
-
-
Junior Member
- Вес репутации
- 57
Скрипт сделал. При загрузке карантина ошибка. Ошибка загрузки. Данный файл уже был загружен.
-
Сорри, не надо карантин Логи повторные сделайте.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Windows Management Audio');
StopService('User Mode Driver Framework');
StopService('yvgmaatr');
QuarantineFile('C:\WINDOWS\Cluster\Debugex.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\wdfmger.exe','');
QuarantineFile('C:\WINDOWS\system32\oobe\obeip.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\gfnpcx.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys');
DeleteFile('C:\WINDOWS\system32\oobe\obeip.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\wdfmger.exe');
DeleteService('User Mode Driver Framework');
DeleteService('Windows Management Audio');
DeleteService('yvgmaatr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('User Mode Driver Framework');
BC_DeleteSvc('Windows Management Audio');
BC_DeleteSvc('yvgmaatr');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Сделано
Последний раз редактировалось dwolfb; 17.12.2009 в 04:13.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('yvgmaatr');
DeleteFile('C:\WINDOWS\system32\drivers\gfnpcx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('yvgmaatr');
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось dwolfb; 17.12.2009 в 04:12.
-
Скачайте IceSword , поищите и скопируйте файл:
Код:
C:\WINDOWS\system32\drivers\gfnpcx.sys
Скопированный с помощью IceSword файл сохраните в карантине (Приложение 2 правил).
Потом удалите его с помощью force delete
Повторите скрипт Гриши и потом логи.
-
-
Junior Member
- Вес репутации
- 57
такого файла не оказалось.
кстати папка систем32 скрытая и ее видно только с файлового менеджера.
-
Сообщение от
dwolfb
такого файла не оказалось.
А похожий по имени и недавний по времени создания есть?
папка систем32 скрытая и ее видно только с файлового менеджера.
т.е.? Вы ее из IseSword/File не видите?
-
-
Junior Member
- Вес репутации
- 57
последний файл по дате создания летом создан. Папку не видно если через мой компьютер идти. В IseSword/File папка есть, а файла нет.
Еще интересная вещь. Интернета на серваке нет, хотя приходит кабель сюда первоначально, а на остальных компах в сети есть. При загрузке ругается на службу одну. Пока шло лечение, я пока не разбирался с этим, ибо возможно, что после лечения поправится. И во время лечения периодически ситуация менялась, на серваке появлялся интернет, но сеть и соответствено на остальных компах инет отрубался.
Добавлено через 5 часов 52 минуты
на этом все?
Последний раз редактировалось dwolfb; 22.03.2009 в 17:40.
Причина: Добавлено
-
Сообщение от
dwolfb
на этом все?
Это единственный файл. который находится у нас под подозрением. Если его нет, то на нет и суда нет.
-
-
Junior Member
- Вес репутации
- 57
Понял. Помониторю его недельку. Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\netdsdm.sys - Trojan-Downloader.Win32.Hmir.ubb
- c:\windows\system32\srivers.dll - Backdoor.Win32.Hupigon.glia ( BitDefender: Trojan.Generic.1447087 )
-