-
Junior Member
- Вес репутации
- 54
Вирус TXPlatform.exe и Cool_GameSetup.exe
ОС Windows Server 2003 SP2. Появился вирус TXPlatform.exe и Cool_GameSetup.exe, заражает ехе файлы, создаются на дисках файлы autorun.inf и УУУУУУ.ехе. Чистил Dr. Web CureIt! вначале помогло, через неделю снова таже картина. С сервером работают люди, переустанавливать систему не хотелось бы. Подскажи пожалйста, что можна сделать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) ???
ОС Windows Server 2003 SP2.
Версия Windows: 5.2.3790, Service Pack
1
???
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Добавлено через 3 минуты
Сообщение от
mcpasha
С сервером работают люди.... Подскажи пожалйста, что можна сделать.
Дать людям по шее, чтобы флешек непроверенных не совали (шутка)
По серъезному:
- установите Сервис Пак 3 и все обновления безопасности;
- установите Интернет Эксплорер 8;
- отберите у всех пользователей (кроме Вас) админские права;
- отключите автозапуск с флешек.
Последний раз редактировалось Rene-gad; 14.08.2009 в 17:35.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Профиксил, после перезагрузки:
Вход в систему - Нажмите Ctrl-Alt-Delete. Ввожу логин, пароль..грузится и снова возвращается к Вход в систему - Нажмите Ctrl-Alt-Delete. Что делать?
-
-
-
Junior Member
- Вес репутации
- 54
Прощу прощения userinit восстановить не получилось, пришлось виндоус восстановить из архива, и снова вирусы переползли. Касперский выдаёт новый вирус C:\Documents and Settings\Administrator\Local Settings\Temp\qqma.exe и попрожнему TXplatform.exe и создаёт файлики да дисках. Сделал новые логи. ЖДУ следующих распаряжений от Вас. До завтра надо избавиться от вируса (((
-
Junior Member
- Вес репутации
- 54
Уже дал. С удовольствием бы поставил СП3 если бы он был для Windows server 2003. Прав админиских у них и так нет, поотключал всем USB порты.
Последний раз редактировалось Rene-gad; 16.08.2009 в 19:20.
-
Сообщение от
mcpasha
С удовольствием бы поставил СП3 если бы он был для Windows server 2003.
Ну хотя бы СП2 поставьте: http://www.microsoft.com/downloads/d...DisplayLang=ru
Сделайте лог GMER в локальной сессии в учетке сетевого админа.
Добавлено через 1 минуту
Сообщение от
mcpasha
пришлось виндоус восстановить из архива, и снова вирусы переползли.
В смысле - из образа? Значит образ был заражен.
Последний раз редактировалось Rene-gad; 16.08.2009 в 19:26.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
делаю
Добавлено через 2 минуты
Образ Acronis он был сделан ещё год назад. Не думаю что он был заражен. Вопрос: этот вирус по сети может перелесть на другие компы?
Добавлено через 1 минуту
Без формата диска С востанавливал винду из образа.
Добавлено через 4 минуты
Делая проверку gmer:
1) Выпадают сообщения: не могу найти путь к папке system;
2) Выпал синий экран смерти (
Добавлено через 10 минут
Делая заново после перезагрузки пишет ненайден путь уже к другим папкам
Последний раз редактировалось mcpasha; 16.08.2009 в 19:47.
Причина: Добавлено
-
Сообщение от
mcpasha
1) Выпадают сообщения: не могу найти путь к папке system;
Вы в локальной сессии сидите? Учетка какая?
Добавлено через 52 секунды
Сообщение от
mcpasha
Вопрос: этот вирус по сети может перелесть на другие компы?
Если поймаем его - скажем. В принципе - ответ ДА.
Последний раз редактировалось Rene-gad; 16.08.2009 в 19:49.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
Администратор. Да в локальной, сейчас делается пока что
Добавлено через 2 минуты
Стоп, в локальной сессии - это как понять, через терминал зайти на сервак? я просто захожу на сервер под администратором, запускаю gmer, проверяет и выдаёт синий экран смерти.
Добавлено через 47 секунд
Локальные машины прогонял НОДОМ и dr. Web ни4его не нашло..
Последний раз редактировалось mcpasha; 16.08.2009 в 19:52.
Причина: Добавлено
-
Сообщение от
mcpasha
Администратор
Локальный или сетевой?
Добавлено через 34 секунды
Сообщение от
mcpasha
Стоп, в локальной сессии - это как понять, через терминал зайти на сервак?
Нет, это будет терминальная сессия
Последний раз редактировалось Rene-gad; 16.08.2009 в 19:57.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
Так а локальная это какая?
Добавлено через 2 минуты
Ну захожу под администратором сервера, наверное это ж и сетевой.
Добавлено через 56 секунд
Вообщем снова синий экран смерти (
Последний раз редактировалось mcpasha; 16.08.2009 в 20:01.
Причина: Добавлено
-
Сообщение от
mcpasha
Ну захожу под администратором сервера, наверное это ж и сетевой.
Наверно? А Вы не админ в этой сети?
ОК, попробуйте это средство: http://virusinfo.info/showthread.php?t=37840
Логи VBA потом в студию.
-
-
Junior Member
- Вес репутации
- 54
сделал
админ)
Последний раз редактировалось Rene-gad; 16.08.2009 в 23:42.
-
Ничего подозрительного в логах нет. Что с проблемой?
Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Ничего подозрительного в логах нет, потому что касперский скорей всего покосил его на время, но после каждой перезагрузки виндоуса появляется фаил на С, Д, Т YYYYYYY.exe. Я отключил один винчестер, на нём сидит эта зараза, может удалить касперского, подключить винчестер и прислать Вам снова логи?
-
Сообщение от
mcpasha
Я отключил один винчестер, на нём сидит эта зараза, может удалить касперского, подключить винчестер и прислать Вам снова логи?
Удалять антивирус не нужно, на время лечения просто отключите его.
1. Обновите базы AVZ.
2. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Сейчас типа вируса нет, мне подождать пока он появится и делать логи?
Отключил антивирус, перезагрузил компьютер. Сделал логи.
Последний раз редактировалось Rene-gad; 17.08.2009 в 14:43.
-
В логе ничего подозрительного не увидел. Жалобы есть?
-
-
Junior Member
- Вес репутации
- 54
Прикрепил скрин посмотрите, касперский удаляет, после перезагрузки снова появляется...