Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Помогите с вирусами на Windows Server 2003! (заявка № 56055)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30

    Thumbs up Помогите с вирусами на Windows Server 2003!

    Здравствуйте. У нас в офисе поставил недавно Windows Server 2003. Попытался поставить Касперского 7.0 на что был дан ответ что он не соответствует этой операционной ситеме. Пока искал KAV для серверной версии в интернете, нахватал вирусов. Началось все с того что при загрузке появлялось вем известное окно с просьзьбой отослать смс для разблокировки системы. Эту пролему легко нашел и вылечил Dr. Web CureIt, затем другое всплывающее окно с какой-то рекламой, Dr. Web CureIt ее тоже победил, затем наконец был утановлен KAV, он тоже нашел несколько файлов в том числе и те кот. Dr. Web CureIt запихал в карантин и благополучно удалил. Вроди я вздохнул спокойно. Сегодня утром при попытке запуска Explorer или Fierfox вылазиет окошко, но уже не с рекламой, а с откровенной (изиняюь) порнухой! KAV и Dr. Web CureIt ничего не находят. Еще что примечательно, вирус каждый раз старательно подменяет файл C:\Windows\systm32\drivers\ets\hosts поле чего ни один сайт с анитивирусами (в том числе и ваш) не грузятся.Помогите!Еще добавлю что вирус отключил сначала просмотр реестра rgedit.exe, а сегодня фиспечер задач стал неактивным
    Последний раз редактировалось 1C8; 01.10.2009 в 05:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     ExecuteAutoQuarantine;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     DeleteFile('C:\Documents and Settings\Administrator\restorer32_a.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-623897536-970338766-2218589064-1007\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-623897536-970338766-2218589064-1009\Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=56055

    3. Повторите логи.
    Последний раз редактировалось Aleksandra; 01.10.2009 в 06:21.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    Где в Windows Server 2003 отключить "восстановление системы" я не нашел, хотя в ХР часто этим пользовался. Скрипт выполнил, файл C:\quarantine.zip ВРОДИ отослал. Просто т.к. я не могу запустить IE или Fierfox, в интернет приходится выходить через обычный "Мой компьютер", т.е. адресс вашегосайта ввожу в поле "адрес"в "Мой компьютер", после этогоокошко превращается в окно IE, но если нажать на любую внешнюю ссылку которая открывается в новом окне, то вместо этого открывается окошко с непристойным содержанием выше описаным. Выщел из ситуации тем, что открыл еще один "мой компьютер" и скопировал вашу ссылку для загрузки фала. Файл 13М загружался минут 5, шел бегунок с загрузкой, как только дошел до конца, как будто завис. Я подождал еще 5 минут и закрыл окно. Напишите если файл не отправился...попробую еще раз.
    Все логи зделал по новой.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    вот
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Пришлите карантин.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    Я же вроди присылал...но щас еще раз вышлю...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от 1C8 Посмотреть сообщение
    Где в Windows Server 2003 отключить "восстановление системы" я не нашел
    Нет в 2003 сервере восстановления системы. Только архивация данных (утилита Backup). Это у меня шаблонка для ответов такая.

    Добавлено через 4 минуты

    1. Выполните скрипт в AVZ:

    Код:
    begin
    ClearHostsFile;
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\XNvWtH.dll','');
     QuarantineFile('C:\WINDOWS\system32\driversnt.dll','');
     DeleteFile('C:\WINDOWS\system32\driversnt.dll');
     DeleteFile('C:\WINDOWS\system32\XNvWtH.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    BC_Activate;
    CreateQurantineArchive('C:\quarantine.zip');
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=56055

    2. Пофиксите в HijackThis:

    O20 - AppInit_DLLs: driversnt.dll
    3. Повторите лог virusinfo_syscheck.
    Последний раз редактировалось Aleksandra; 02.10.2009 в 04:21. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    Алилуя!
    Первое что заметил, так это файл hosts небыл заменен при перезагрузке вирусным...но голые бабы остались...пофикил O20 - AppInit_DLLs: driversnt.dll, бабы исчезли...наконец-то могу работать с fierfox-ом!
    Карантин выслал, лог обновил.

  11. #10
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    ага....рано радовался! IE6 работатет, при попытке запустить Fierfox, все равно "люимые голые бабы"! господи...да избавте же вы меня от них! :-)

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\XNvWtH.dll');
     DeleteFile('C:\WINDOWS\system32\GZgmCY.dll');
     DeleteFile('C:\WINDOWS\system32\XNvWtH.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог virusinfo_syscheck.
    Последний раз редактировалось Aleksandra; 02.10.2009 в 05:45.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    извиняюсь, но пока не могу перезагрузится, комп занят удаленными пользователями. А пока я заметил что файла C:\WINDOWS\system32\XNvWtH.dll не существует, зато есть похожий xKXeAv.dll И еще я заметил, что на удаленных машинах работающих в терминальном режиме с удаленным рабочим столом, постоянно выскакивает ошибка запуска какой-то библиотеки с объяснением что это не приложение win32. Причем dll-ки каждый разразные,и все они складируютя вот по этому пути C:\Documents and Settings\юзер\Local Settings\Temp\3 и все они 0-вого размера. Вот некоторые из них aVZbd.dll iwzAq.dll BANRR.dll CdSzw.dll dfJga.dll iPApr.dll и таких порядка 20 шт.

    Добавлено через 6 минут

    И еще, только что просмотрел каталог system32 оказывается там таких похожих dll-ек тооже много
    Последний раз редактировалось 1C8; 02.10.2009 в 05:44. Причина: Добавлено

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от 1C8 Посмотреть сообщение
    извиняюсь, но пока не могу перезагрузится, комп занят удаленными пользователями
    Немного подправила скрипт. Его желательно выполнить быстрее, ну или как только появится возможность перегрузить машину.

    Добавлено через 1 минуту

    Цитата Сообщение от 1C8 Посмотреть сообщение
    И еще, только что просмотрел каталог system32 оказывается там таких похожих dll-ек тооже много
    Основной файл зловреда мы прибили. Выполняйте скрипт.
    Последний раз редактировалось Aleksandra; 02.10.2009 в 05:51. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    через 5 мин. выполню скрипт, а пока вот еще чтомогу добавить...в system32 таких файлов 21 штука, все они созданы 04.11.06 хотя операционка ставилась 5 дней назад! Все они имею размер 233472 б. может быть их всех прибить ручками в FAR-е?

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от 1C8 Посмотреть сообщение
    Все они имею размер 233472 б. может быть их всех прибить ручками в FAR-е?
    Пока ничего не трогайте!
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    Изиняюсь за самоуправство, но я не дождался и их грохрул :-( выполнил скрипт, сделал лог.

  18. #17
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    FierFox запустился, regedit стал доступным, но вот диспечер задач всеравно не активный

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от 1C8 Посмотреть сообщение
    но вот диспечер задач всеравно не активный
    Выполните скрипт в AVZ:

    Код:
    begin
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    Проверяйте!
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    16
    Вес репутации
    30
    Аминь блин! Вроди все работает! Спс огромное!
    Лог приложил.
    Давайте теперь устроим разбор полетов:
    Что это было? Честно говоря первый раз вижу что вирус есть а KAV его не находит!
    И еще каким средством посоветуете пользоваться для защиты компьютера? На ХР я благополучно пользовался KIS, для сервера как-то KIS я не нашел...только KAV, встречали ли вы где-нить KIS для сереров?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    driversnt.dll - Trojan.Kor (Dr.Web)

    В логах активной заразы не увидела. Сейчас скачайте свежий CureIt и сделайте полную проверку компьютера. Все что найдет - удаляйте! Это уже мусор. После еще раз все проверьте и отпишитесь в теме. Я буду на форуме до обеда. Можете также писать в джабер или воспользоваться лс.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) 1C8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 22.04.2010, 14:18
    2. Помогите!!!! windows 2003 server
      От fiv в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.02.2010, 15:26
    3. Windows Server 2003 SP1
      От VK_ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.10.2009, 13:19
    4. Windows Server 2003 SP2 [Virus.Win32.Sality.aa ]
      От trigger_rs в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.01.2009, 11:40
    5. Вышел Service Pack 2 для ОС Windows Server 2003 и Windows XP x64bit
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 16.03.2007, 13:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01098 seconds with 17 queries