Сервер win2000 sp4 периодически перезагружается с выкидыванием окна о том что services.exe была неожиданно прекращена с кодом 128 (кажется). Проверка norton antivirus ничего не дала...уже не знаю где копать...
Сервер win2000 sp4 периодически перезагружается с выкидыванием окна о том что services.exe была неожиданно прекращена с кодом 128 (кажется). Проверка norton antivirus ничего не дала...уже не знаю где копать...
1. Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin QuarantineFile('aic116x.sys', 'CHQ=N'); QuarantineFile('ami0nt.sys', 'CHQ=N'); QuarantineFile('BusLogic.sys', 'CHQ=N'); QuarantineFile('cpqarry2.sys', 'CHQ=N'); QuarantineFile('cpqfcalm.sys', 'CHQ=N'); QuarantineFile('cpqfws2e.sys', 'CHQ=N'); QuarantineFile('deckzpsx.sys', 'CHQ=N'); QuarantineFile('Fd16_700.sys', 'CHQ=N'); QuarantineFile('fireport.sys', 'CHQ=N'); QuarantineFile('flashpnt.sys', 'CHQ=N'); QuarantineFile('ipsraidn.sys', 'CHQ=N'); QuarantineFile('lp6nds35.sys', 'CHQ=N'); QuarantineFile('Ncrc710.sys', 'CHQ=N'); QuarantineFile('ql2100.sys', 'CHQ=N'); QuarantineFile('C:\Raptor\Firewall\BIN\eaglemsg.dll', 'CHQ=N'); QuarantineFile('C:\Raptor\WebServer\bin\tomcat.exe', 'CHQ=N'); QuarantineFile('sglfb.sys', 'CHQ=N'); QuarantineFile('tga.sys', 'CHQ=N'); QuarantineFile('ultra66.sys', 'CHQ=N'); QuarantineFile('E:\WINNT\System', 'CHQ=S'); QuarantineFile('E:\WINNT\system32\athprxy.dll', 'CHQ=N'); QuarantineFile('E:\WINNT\system32\mljhghi.dll', 'CHQ=S'); QuarantineFile('E:\WINNT\System32\Drivers\dump_diskdump.sys', 'CHQ=S'); QuarantineFile('E:\WINNT\System32\Drivers\dump_si3112r.sys', 'CHQ=S'); QuarantineFile('E:\WINNT\system32\drivers\si3112r.sys', 'CHQ=N'); QuarantineFile('e:\winnt\system32\cba\pds.exe', 'CHQ=G'); QuarantineFile('E:\WINNT\system32\plugincpl131_04.cpl', 'CHQ=G'); QuarantineFile('e:\program files\binarysense\hddlife 3\hldasvc.exe', 'CHQ=G'); QuarantineFile('E:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe', 'CHQ=G'); QuarantineFile('E:\PROGRA~1\MICROS~3\MSSQL\binn\sqlagent.exe', 'CHQ=G'); QuarantineFile('E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe', 'CHQ=G'); QuarantineFile('e:\program files\common files\system\mssearch\bin\mssearch.exe', 'CHQ=G'); BC_QrFile('C:\Raptor\Firewall\BIN\eaglemsg.dll'); BC_QrFile('C:\Raptor\WebServer\bin\tomcat.exe'); BC_QrFile('E:\WINNT\System'); BC_QrFile('E:\WINNT\system32\mljhghi.dll'); BC_QrFile('E:\WINNT\System32\Drivers\dump_diskdump.sys'); BC_QrFile('E:\WINNT\System32\Drivers\dump_si3112r.sys'); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
Скрипт выполнил.
Карантин отправил.
Пункт 3 в процессе...
Выполните пожалуйста ещё вот такой скрипт:
И загрузите карантин повторно.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} QuarantineFile('E:\WINNT\system32\snti386.dll',''); QuarantineFile('E:\WINNT\system32\mljhghi.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Скрипт выполнил, карантин отправил...
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} DeleteFile('E:\WINNT\system32\mljhghi.dll'); DelCLSID('086F3ADF-92EA-4415-877E-C7DD7DD64F14'); BC_ImportAll; ExecuteSysClean; SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Обновите базы AVZ!!! Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ скачайте отсюда и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ.
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
К инету комп не поключен, а вот от сети отключить не могу, подключаюсь к нему удаленно.
И антивирус отключить не могу, могу только удалить...чем наверное и займусь когда все вычищу..
Логи прилагаются, в карантине пусто, прислать нечего...
Ну при всех таких условиях мы не можем гарантировать полноту лечения.
Сервак самопроизвольно перезагружаться перестал, нашел зловреда на компах в сети, который и атаковал мой сервак. Всем спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Jay_80, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.