Утром обнаружил что файловый сервер не работает. Не смог открыть не деспетчер задач, не управление сервером.
GMER выдал подозрение на руткит.
Утром обнаружил что файловый сервер не работает. Не смог открыть не деспетчер задач, не управление сервером.
GMER выдал подозрение на руткит.
сохраните содержимое в блокноте как 1.bat в папке со gmer запустите...повторите логи
Код:iin23coe.exe -del Service ccrwa iin23coe.exe -del file "C:\WINDOWS\system32\yrovvmki.dll" iin23coe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ccrwa" iin23coe.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ccrwa" iin23coe.exe -reboot
Новые логи
Что, все так грустно?
C:\setup.exe - пришлите согласно приложения 2 правил
Отправил
Похоже зараза пошла по сети, у пользователей начала изчезать языковая панель.
Каждый день с утра.
Это понятно, msi файлик и gpupdate решили все быстро.
Вопрос в следующем, отключил сервер от локалки, перезагрузил в локальном режиме без входа в домен, красных неопознаных процессов стало меньше, но все равно они остались, отправил файл smss.exe на проверку в Virus Total, файл опознан как безопасный, и странный путь у системных файлов, через запись админа, а не напрямую.
В логе HijackThis ничего подозрительного, ни Касперский ни Доктор Веб ничего не видят, как в обычном так и в безопасном режиме, что делать не знаю
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) AndreyET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.