Сервер весь в вирусах, антивирусник в коме.
Помогите, касперский слетел, более не запускается, а на серваке тварится всякая ерунда, диспетчер задач заблокирован, регистр реестра тоже. При входе в терминал на этот сервер и попытке запустить процесс explorer процесс это начинается плодитьса со страшной силой. Лечени сотен вирусов само сабой не дает эффект пролечиваю а он похоже уже пролеченное следом заново заражает.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Из лога
Обновите базы AVZ!!! (файл - обновление баз).Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Логи переделать.
Вроде сейчас все верно сделал.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\WINDOWS\system32\config\NetLimiter.e',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe',''); DelBHO('F6EE5875-4854-4408-B12D-3290883D966E'); QuarantineFile('C:\WINDOWS\vmgspntbter.dll',''); DelBHO('C5AF49A2-94F3-42BD-F234-3604812C897D'); DelBHO('A37F5943-8331-4900-972E-8CEFC43E4629'); DelBHO('96396D0B-E29A-4DD6-8E84-96A709EBFBE6'); DelBHO('1A75F101-126E-46A3-97B1-91A96D161C15'); QuarantineFile('C:\Windows\system32\YURF8E.exe',''); QuarantineFile('C:\Windows\system32\YUREAB.exe',''); QuarantineFile('C:\Windows\system32\YURE5.exe',''); QuarantineFile('C:\Windows\system32\YURDFB.exe',''); QuarantineFile('C:\Windows\system32\YURD45.exe',''); QuarantineFile('C:\Windows\system32\YURB9.exe',''); QuarantineFile('C:\Windows\system32\YURB8.exe',''); QuarantineFile('C:\Windows\system32\YUR2C.exe',''); QuarantineFile('C:\Windows\system32\YUR29.exe',''); QuarantineFile('C:\Windows\system32\YUR15D0.exe',''); QuarantineFile('C:\Windows\system32\YUR151E.exe',''); QuarantineFile('C:\Windows\system32\YUR1386.exe',''); QuarantineFile('C:\Windows\system32\YUR120F.exe',''); QuarantineFile('C:\Windows\system32\YUR10C3.exe',''); QuarantineFile('C:\WINDOWS\system32\ksfj83nwe.dll',''); QuarantineFile('C:\WINDOWS\system32\kdsxc.exe',''); QuarantineFile('C:\WINDOWS\system32\jcetxibx.dll',''); QuarantineFile('C:\WINDOWS\system32\anwsk.exe',''); QuarantineFile('C:\WINDOWS\system32\byXPiIAs.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\dtseqrxk.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\svchost.exe',''); QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogen.exe',''); QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\SkyNET.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SjyPkt.sys',''); DeleteService('nrrvorqv'); QuarantineFile('C:\WINDOWS\system32\drivers\nrrvorqv.sys',''); DeleteService('abp470n5'); QuarantineFile('C:\Documents and Settings\Administrator\S87ekhV.exe',''); QuarantineFile('C:\WINDOWS\mgxfebsq.dll',''); DeleteFile('C:\WINDOWS\mgxfebsq.dll'); DeleteFile('C:\Documents and Settings\Administrator\S87ekhV.exe'); DeleteFile('C:\WINDOWS\system32\drivers\nrrvorqv.sys'); DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8\winlogon.exe'); DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogen.exe'); DeleteFile('C:\Documents and Settings\Administrator\svchost.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\dtseqrxk.dll'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\byXPiIAs.dll'); DeleteFile('C:\WINDOWS\system32\anwsk.exe'); DeleteFile('C:\WINDOWS\system32\jcetxibx.dll'); DeleteFile('C:\WINDOWS\system32\kdsxc.exe'); DeleteFile('C:\WINDOWS\system32\ksfj83nwe.dll'); DeleteFile('C:\Windows\system32\YUR10C3.exe'); DeleteFile('C:\Windows\system32\YUR120F.exe'); DeleteFile('C:\Windows\system32\YUR1386.exe'); DeleteFile('C:\Windows\system32\YUR151E.exe'); DeleteFile('C:\Windows\system32\YUR15D0.exe'); DeleteFile('C:\Windows\system32\YUR29.exe'); DeleteFile('C:\Windows\system32\YUR2C.exe'); DeleteFile('C:\Windows\system32\YURB8.exe'); DeleteFile('C:\Windows\system32\YURB9.exe'); DeleteFile('C:\Windows\system32\YURD45.exe'); DeleteFile('C:\Windows\system32\YURDFB.exe'); DeleteFile('C:\Windows\system32\YURE5.exe'); DeleteFile('C:\Windows\system32\YUREAB.exe'); DeleteFile('C:\Windows\system32\YURF8E.exe'); DeleteFile('byXPiIAs.dll'); DeleteFile('hgGyxWoM.dll'); DeleteFile('C:\WINDOWS\vmgspntbter.dll'); QuarantineFile('C:\Program Files\Microsoft Common\wuauclt.exe',''); DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe'); BC_Importall; ExecuteRepair(9); ExecuteRepair(10); ExecuteRepair(11); ExecuteRepair(17); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=51067
Выполните это http://virusinfo.info/showthread.php?t=15927. Вариант с LiveCD предпочтительней.
В настройках сетевого подключения пропишите адреса DNS-серверов вашего провайдера.
После этого повторите логи.
Добавлено через 1 минуту
У меня ещё вопрос.
Как вы допустили заражение на сервере?
Последний раз редактировалось light59; 31.07.2009 в 10:40. Причина: Добавлено
Отвечу на ваш вопрос. Тут до меня 4-5 сис админов трудилось, бардак по части антивирусной защиты, на каких то компах её вообще небыло(сеть из 25 компов), а на самом серваке чуть ли не игрушки стаяли и им пользовались как рабочей станцией. И вроде везде каспера установил и все настроил и всеравно каким то макаром на сервак вир пробрался и грохнул каспера. Хотя я сервака стараюсь не касаться и ничего в него не пихать.
Кстате, при попытке загрузить в Safe Mode выкидывается синий экран смерти.
Последний раз редактировалось Gerurd; 31.07.2009 в 11:03.
Safe Mode грузить вам не даёт Sality.
Можете попробовать пролечить его так http://support.kaspersky.ru/faq/?qid=208636131
Уважаемый(ая) Gerurd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
