Вирус на сервере. Помогите.

sergeyms · 11.06.2012, 17:00

Добрый день. Имеется сервер windows 2003, 32 разр. Подцепили вирус. Не работает кнопка выполнить.
Пуск-выполнить не открывается. Пишет нет прав. Постоянно на диске С создаются папки с набором символов, после удаления появляются новыею.
запустил программу mscongig в ней в автозагрузке загружаются куча dll и exe файлов, при снятии их с автозагрузке они снова появляются в автозагрузке.
Выполнил скрипт 3. Избавьте от вируса и посоветуйте хороший антивирус для видновс сервер 2003. и как его ставить? Запускать на отдельном компе, или у каждого пользователя он должен стоять?
Или должен стоять постоянно в консоле на одном компьютере?

virusinfo_syscure.zip http://zalil.ru/33425928
virusinfo_cure.zip http://zalil.ru/33425941

safety · 11.06.2012, 18:44

+
образ автозапуска
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

sergeyms · 11.06.2012, 19:23

Образ автозапуска http://zalil.ru/33426618

safety · 11.06.2012, 19:36

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.2
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ASQVTTFFMSM.EXE
addsgn A7679B19B93A26976155C6B172EECF6D25CC07DDE1FA7FB50A2B12A650D6F28837444852E678DF4943807F04E57C8B123CC7E872D61EB87A1EA5CC2F7DB3059B 8 Carberp.AF.0516
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0AHEUOFHRI.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\APPLICATION DATA\NETPROTOCOL.EXE
addsgn 1ABE619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE8B65 8 netprotokol
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIZ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UEAKDSQIJXU.EXE
addsgn A7679BF0AA023C014BD4C6B20E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB60E9FE82BD6D7B0EC6E775BACCA02E230 8 Carberp.AF.0512
delref %Sys32%\GPTWKZB.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEYMS\MS.EXE
bl 4A0FC8EF09850486BF346A2404FD8DCA 210432
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIZ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UEAKDSQIJXU.EXE
bl D2E9D28AB1A3244CF1FF8293A676C754 139776
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ASQVTTFFMSM.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q0AHEUOFHRI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PROIZVODSTVO\APPLICATION DATA\NETPROTOCOL.EXE
addsgn A7679B1BB9924C720B6D645664C821D70E5BD727A22B1CAA0C8E35951D26F8D903E83CA86D7E576AE1A9C96F109D140A560563FF75254FD304EA84D038F909B8 8 Carberp.0611
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ASQVTTFFMSM.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RD4GVTHZFBW.EXE
bl 4B185F0F7ABAF6C240F803CF213A4C89 135680
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ASQVTTFFMSM.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEXEY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RD4GVTHZFBW.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

safety · 11.06.2012, 19:36

антивируса вообще нет? возможно что и файловое заражение есть. посмотрим дальше.
-------
и вопрос: вы какое отношение имеете к данному серверу?

администратор в сети, менеджер, пользователь?

sergeyms · 11.06.2012, 20:24

Антивируса нет вообще. Являюсь администратором сервера. Сервер windows 2003, 32 бита, пропатченный, видит оперативку 16г.
Изменилось не много. По прежнему в автозагрузке сидят программы и не работает кнопка пуск. Я так понимаю нужно капать в реестре по поводу кнопки пуск. Вот принтскрин http://zalil.ru/33426865
Посоветуйте антивирусник и как его запускать? Каждому пользователю отдельно или на одном компьютере.

safety · 11.06.2012, 20:28

Цитата:

По прежнему в автозагрузке сидят программы

в атозапуске не должно быть вредоносных программ - полезные же там и должны быть.

рисунки здесь не нужны, без необходимости.

сделайте новый образ автозапуска в uVS.
---------------
по антивирусу: рекомендую установить ESET NOD32 4.5 for Windows Server. Но он платен.
http://www.eset.com/download/business/detail/family/26/

11.06.2012, 17:00	#1 (ссылка)
sergeyms Новичок Регистрация: 11.06.2012 Сообщений: 3 Репутация: 0	Вирус на сервере. Помогите. Добрый день. Имеется сервер windows 2003, 32 разр. Подцепили вирус. Не работает кнопка выполнить. Пуск-выполнить не открывается. Пишет нет прав. Постоянно на диске С создаются папки с набором символов, после удаления появляются новыею. запустил программу mscongig в ней в автозагрузке загружаются куча dll и exe файлов, при снятии их с автозагрузке они снова появляются в автозагрузке. Выполнил скрипт 3. Избавьте от вируса и посоветуйте хороший антивирус для видновс сервер 2003. и как его ставить? Запускать на отдельном компе, или у каждого пользователя он должен стоять? Или должен стоять постоянно в консоле на одном компьютере? virusinfo_syscure.zip http://zalil.ru/33425928 virusinfo_cure.zip http://zalil.ru/33425941

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
На сервере появился x30811 и Winlogos.exe. Помогите вылечить	VikNab	Безопасность	3	02.11.2011 00:32
Проблема - вирус или его последствия на Сервере(отваливается шара)	YaZon	Безопасность	1	18.09.2011 14:17
На сервере вирусы.	mixa1ich	Безопасность	5	01.03.2011 21:36
Помогите с игрой Diablo 2Lod на сервере Playground!!!!!!!!!!!!	Константин88	Игры	1	02.11.2010 20:12
DHCP на сервере 2003	Riger1981	Операционные системы	1	18.08.2010 20:00

11.06.2012, 18:44	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ образ автозапуска http://pchelpforum.ru/showpost.php?p=593305&postcount=3

11.06.2012, 19:23	#3 (ссылка)
sergeyms Новичок Регистрация: 11.06.2012 Сообщений: 3 Репутация: 0	Образ автозапуска http://zalil.ru/33426618

11.06.2012, 19:36	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	антивируса вообще нет? возможно что и файловое заражение есть. посмотрим дальше. ------- и вопрос: вы какое отношение имеете к данному серверу? администратор в сети, менеджер, пользователь?

11.06.2012, 20:24	#6 (ссылка)
sergeyms Новичок Регистрация: 11.06.2012 Сообщений: 3 Репутация: 0	Антивируса нет вообще. Являюсь администратором сервера. Сервер windows 2003, 32 бита, пропатченный, видит оперативку 16г. Изменилось не много. По прежнему в автозагрузке сидят программы и не работает кнопка пуск. Я так понимаю нужно капать в реестре по поводу кнопки пуск. Вот принтскрин http://zalil.ru/33426865 Посоветуйте антивирусник и как его запускать? Каждому пользователю отдельно или на одном компьютере.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads