-
Junior Member
- Вес репутации
- 61
Перехватчик ntoskrnl.exe
Добрый вечер!
Подскажите, AVZ при обычном сканировании ругается на перехватчик
C:\Documents And Settings\User\WINDOWS\system32\ntoskrnl.exe
Папки WINDOWS в профиле пользователя нет.
(операционка - Win2003 Server)
Это может быть вирус?
PS О! В этой же папке подозрение на вирус файл smss.exe
Последний раз редактировалось Grower; 23.12.2010 в 22:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 61
Вот логи. Проблема в следующем, когда комп грузится (на экране "Подготовка сетевых подключений") он пингуется. Когда загрузился (на экране "Нажмите Ctrl+Alt+Del"), он уже не пингуется и сам сеть не видит. Произошло это после того, как я почистил в HiJack строку типа "О17 LSP что-то-там.exe (File missing)"
Последний раз редактировалось Grower; 17.03.2011 в 23:16.
-
Junior Member
- Вес репутации
- 61
Господа хелперы, очень прошу Вас помочь. Сижу перед компом и жду ответа...
-
-
-
Junior Member
- Вес репутации
- 61
Закачал....
Файл сохранён как 101224_004207_virusinfo_files_DINO_4d13c22f42e14.z ip
Размер файла 5551711
MD5 14b2bc9e4d8d1a46ff4c59570985c019
-
На время лечения у Вас должен быть физический доступ к серверу!
1. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
//SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\50.scr','');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
DeleteFile('C:\WINDOWS\system32\50.scr');
ExecuteSysClean;
SetAVZGuardStatus(False);
//RebootWindows(true);
end.
После выполнения скрипта необходимо обязательно отребутить сервер вручную!
2. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=94144
3. Сделайте повторный лог virusinfo_syscheck.
-
-
Junior Member
- Вес репутации
- 61
Карантин закачал:
----------------
Файл сохранён как 101224_014816_quarantine_4d13d1b0ded05.zip
Размер файла 10180
MD5 534fb11b14829cb22e7b844f64830dec
----------------
Вот новый лог...
Последний раз редактировалось Grower; 17.03.2011 в 23:16.
-
Junior Member
- Вес репутации
- 61
"От нечего делать" сделал лог mbam. Нашлись 2 Backdoor.Agent и один Backdoor.bot
Последний раз редактировалось Grower; 17.03.2011 в 23:16.
-
1. Выполните скрипт в AVZ:
Код:
begin
//SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system\dllcache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
ExecuteSysClean;
SetAVZGuardStatus(False);
//RebootWindows(true);
end.
После выполнения скрипта необходимо обязательно отребутить сервер вручную!
2. Сделайте повторный лог virusinfo_syscheck.
Добавлено через 2 минуты
Сообщение от
Grower
"От нечего делать" сделал лог mbam.
Не нужно делать то, чего Вас не просят!
Последний раз редактировалось Aleksandra; 24.12.2010 в 02:08.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
Вот новый лог.
PS извините за mbam. Хотел как лучше, а получилось как всегда...
Последний раз редактировалось Grower; 17.03.2011 в 23:16.
-
Ничего плохого в логах не увидела.
-
-
Junior Member
- Вес репутации
- 61
Подниму тему...
Проблема теперь в следующем, компьютер не видит сеть, и его по сети тоже не видно.
Команда netsh winsock reset исправляет это. Но не совсем - компьютер видит всех только по IP, по DNS-имени не видит. При этом менеджер LSP в AVZ вываливает кучу однотипных ошибок, типа "...file missing".
Если эти ошибки LSP исправить (кнопкой в том же AVZ), то комп опять не видит сеть.
Не подскажете, в каком направлении можно искать причину этих ошибок?
-
Если эти ошибки LSP исправить (кнопкой в том же AVZ), то комп опять не видит сеть.
не стоит этого делать ... авз этого просто не умеет с серверной осью ... на эти ошибки не обращайте внимания так и должно быть ...
у вас служба сервер запущена ?
что указано в качестве днс сервера ?
-
-
Junior Member
- Вес репутации
- 61
это и есть ДНС-сервер...
почитал интернет. Говорят от этого помогает снести/установить протокол TCP/IP...
вот так
Вечером буду пробовать
Добавлено через 3 часа 31 минуту
Ну, в общем, коварный Мелкософт в очередной раз напомнил про поговорку "Windows must die"... Приехал, сел за комп, а там всё работает! Тьху!
Простите за беспокойство.
Последний раз редактировалось Grower; 24.12.2010 в 18:09.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\50.scr - Backdoor.Win32.IRCBot.lav ( DrWEB: Win32.HLLW.Druck.5, BitDefender: Trojan.Generic.2095132, AVAST4: Win32:Inject-SW [Trj] )
-