-
Junior Member
- Вес репутации
- 53
Windows Server 2003 SP1
Огромное спасибо за оказанную помощь, однако есть ещё проблема
На сервере(установлен Windows Server 2003 SP1) запускаются терминалы в которых пользователи стартуют 1C, с некоторых пор периодически стали выскакивать сообщения о критических ошибках Svshost, а пользователи жалуются что 1С как бы работает, но с какого то момента сохранить, удалить данные становится невозможным.
Я запустил AVZ, просканировал, в результате есть подозрение на подмену процесса smss, а так же выдало что неверные настройки SPI/LSP.
Я немного покапался на форумах, выяснил что вполне возможно это не ошибка-AVZ на Windows server некоторые пути воспринимает неверно, однако, тот же AVZ на другом сервере подобных проблем не обнаружил. Так вот не понятно - всё же есть подозрение на вирус или нет. Помогите пожалуйста разобраться. Лог прилагается
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В regedit дайте "Полный доступ" администратору на эту ветку:
HKLM\SYSTEM\CurrentControlSet\Services\ovfhfmlq
Далее обновите содержимое по F5 и удалите все ключи, которые ссылаются на ovfhfmlq...
После задайте поиск по всему реестру и там где найдется ovfhfmlq проделайте тоже самое. Будьте очень осторожны при работе с реестром!!!
Добавлено через 38 минут
После выполните скрипт в AVZ:
Код:
begin
RegSearch('HKLM', '', 'ovfhfmlq');
SaveLog(GetAVZDirectory + 'avz.log');
end.
Прикрепите лог avz.log из папки AVZ.
Последний раз редактировалось Aleksandra; 04.10.2009 в 16:33.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
к сожалению ветки LEGASY_ovfhfmlq не удаляются
кстати, запустил GMER- он тут же выдал что процесс SVCHOST.exe не безопасен, в поле Value наш ovfhfmlq...
буду пробовать...
-
Я Вам разве про Gmer писала? На Windows 2003 его вообще лучше не использовать! Выполните скрипт и приложите лог.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
я с помощью GMER не собирался лечением заниматься, для дополнительного анализа
вроде бы поудалял все ветки, скрипт отработал, прилагаю
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
-
Выполните скрипт в AVZ:
Код:
begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfhfmlq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\ovfhfmlq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ovfhfmlq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ovfhfmlq');
DeleteService('ovfhfmlq');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
спасибо за информацию, однако скрипт не возымел действия, несмотря на то что на ветки были выданы права администратору с полным доступом, при удалении выдаёт сообщение - ключ удалить не возможно...
-
Приложите virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
доброго времени суток,
вчера провозился до вечера, но в итоге, по крайней мере этот вирус удалён, может быть этому так же поспособствовал запуск утилиты кк.exe от касперского, логи прилагаю
лог virusinfo_syscheck почему то отсутствует
Последний раз редактировалось VK_; 29.12.2009 в 15:31.
-
Junior Member
- Вес репутации
- 53
да и ещё, сегодн сутра проверил ещё пару компьютеров... на всех обнаружен ниссан, а на одном такая же зараза(насколько я понял kido) как и на сервере, буду чистить по аналогии с тем как делал это на своём компьютере и на сервере, потому как если все логи на форум выложить это уже буде слишком
-
Ничего зловредного в логах нет. Необходимо установить все доступные обновления системы.
Добавлено через 1 минуту
Сообщение от
VK_
потому как если все логи на форум выложить это уже буде слишком
Почему же? Выкладывайте! Только для каждой машины нужно создавать отдельную тему.
Последний раз редактировалось Aleksandra; 05.10.2009 в 13:13.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
ещё раз выражаю свою благодарность
а по поводу выкладывания логов - это порядка 30 компьютеров, технологию я усвоил, аналогичным образом пройдусь по всем компьютерам в сети, если возникнут непредвиденные ситуации тогда уж открою новую ветку(ки)