Голос Разума Posted August 11, 2011 Report Share Posted August 11, 2011 Вирус проявляется как процесс cmd.exe. Тормозит брандмауэр, открывает доступ к удаленному рабочему столу, роняет консоль mmc. Nod его не видит. Попытки закрыть доступ к cmd.exe либо переименовать его ни к чему не приводят. Такое чувство, что запускается по расписанию, но в планировщике его нет. Время от времени появляются такие процессы, как net1.exe и wscript.exe. Переустановкой системы с форматом системного диска НЕ ЛЕЧЕТСЯ. Жажду помощи знающих... Link to comment Share on other sites More sharing options...
igorgri Posted August 11, 2011 Report Share Posted August 11, 2011 выкинь нод, выкинь сразу установочный диск. nod32 в последнее время вообще стал отстойным антивирусом, выкинул егог полтора года назад - и забыл про вирусы... Ну и UVS поюзай - помогает однако. И Comodo поставь - тогда сразу увидишь, что за процессы полезли в сеть без твоего разрешения. Link to comment Share on other sites More sharing options...
Yustik Posted August 11, 2011 Report Share Posted August 11, 2011 Если диск отформатировали полностью - значит проблема либо не в вирусе, либо в дистрибутиве. Можно попробовать с другого установочника с форматированием всего диска. Link to comment Share on other sites More sharing options...
Мурзилка Posted August 11, 2011 Report Share Posted August 11, 2011 возможно вирус сидит на других логических (физических) дисках в системных каталогах, например в корзине или в "System Volume Information". Их тоже можно поудалять перед установкой чистой винды. Ну, и диск установочный конечно поменять. Очень желательно использовать НЕ сборки (куда натыкано уже много стороннего софта), а поставить чистую ОС, потом обновиться и поставить антивирус. у меня стоит comodo - фриварный, проблем нет уже около года, до этого был платный каспер - большой разницы в качестве работы не заметил. после установки проверить свои пользовательские данные на наличие вирусов. Link to comment Share on other sites More sharing options...
Голос Разума Posted August 11, 2011 Author Report Share Posted August 11, 2011 ОС Windows Server 2003 Enterprise Edition лицензия, не сборка. Link to comment Share on other sites More sharing options...
yellow_rabbit Posted August 11, 2011 Report Share Posted August 11, 2011 (edited) avz - исследование системы, сюда можно лог. PS: надеюсь терминальный сервер на нем не поднят? Edited August 11, 2011 by yellow_rabbit Link to comment Share on other sites More sharing options...
buffik Posted August 11, 2011 Report Share Posted August 11, 2011 +1 к УВСпопробуй проверить этим сканером - часто выручает тынц Link to comment Share on other sites More sharing options...
Голос Разума Posted August 13, 2011 Author Report Share Posted August 13, 2011 Лог во вложении. Что-то нашла AVZ, что-то нашел CUREIT, что-то нашел NOD. А вирус до сих пор живее все живых. avz_sysinfo.htm Link to comment Share on other sites More sharing options...
yellow_rabbit Posted August 13, 2011 Report Share Posted August 13, 2011 Прикольная система. в AVZ - файл - выполнить скрипт, туда скопировать строки же, нажать выполнить.скрипт будет отрабатываться, после чего комп перезагрузится.скрипт может отрабатываться до 10мин, это нормально. после перезагрузки опять файл - сканирование системы. непосредственно вирус (можно самостоятельно потом будет глянуть в логе эту строчку)C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sysучитывая что он работает на уровне ядра системы поэтому не удивительно1. его не видят антивирусы2. он их блокирует3. не видно файлов вируса4. не видно в заданиях самих заданий.удачи. begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys'); BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys'); DeleteFile('C:\WINDOWS\System32\f.exe'); BC_DeleteFile('C:\WINDOWS\System32\f.exe'); DeleteFile('C:\WINDOWS\System32\g.exe'); BC_DeleteFile('C:\WINDOWS\System32\g.exe'); DeleteFile('C:\WINDOWS\System32\h.exe'); BC_DeleteFile('C:\WINDOWS\System32\h.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. PS: в следующие сканирования системы просьба выполнять с минимальным количеством запущенных приложений. Link to comment Share on other sites More sharing options...
Голос Разума Posted August 13, 2011 Author Report Share Posted August 13, 2011 Сделал. Ожил NOD, вспомнил, что должен вирусы ловить. Avz обнаружил (НАКОНЕЦ-ТО) 5 отладчиков системного процесса. Пока все работает, правда вирус пожрал мне NETFramework... В прикреплении два исследования системы. Безопасный режим.htm Нормальный режим.htm Link to comment Share on other sites More sharing options...
yellow_rabbit Posted August 13, 2011 Report Share Posted August 13, 2011 больше подозрительного ничего не видно. надеюсь наши победили. фреймворк - не сильно большая проблема на фоне всего остального. Link to comment Share on other sites More sharing options...
Голос Разума Posted August 13, 2011 Author Report Share Posted August 13, 2011 Подождал, посмотрел. Опять старая картина. Куча процессов cmd и net1. Опять открыт доступ к удаленному рабочему столу. Делаю исследование системы (файл в приложении, специально делал его не удаляя процессы), того файла в ядре нет. Значит, запускает что-то другое... ЗЫ Может уже легче винду снести? avz_sysinfo.htm Link to comment Share on other sites More sharing options...
igorgri Posted August 14, 2011 Report Share Posted August 14, 2011 странно что находят вирусы в папках темп. Первым делом что делаю с компом - запускаюсь с системного CD и сношу все в темповых и кэшевских папках. И на 75% сразу исчезают вирусы. Попробуй все же uvs - он находит в реестре левые записи. Link to comment Share on other sites More sharing options...
yellow_rabbit Posted August 14, 2011 Report Share Posted August 14, 2011 Подождал, посмотрел. Опять старая картина. как долго ждать? перегружался?по логу сейчас ничего подозрительного нет.учитывая настройку системы, может установленные программы делают изменения системы под себя? Link to comment Share on other sites More sharing options...
Голос Разума Posted August 16, 2011 Author Report Share Posted August 16, 2011 Ситуация следующая. Все сносим, ставим стерильную систему. Сразу же в gpedit вырубаем автозагрузку со всех носителей от греха подальше, отрубаем выполнение любых командных сценариев, отрубаем доступ к выполнению wscript, вырубаем удаленный рабочий стол. Разворачиваем необходимые проги. Врубаем обе сетевые карты. Врубаем ноду фаервол и общий доступ в интернет. Ждем. Последний раз ждал полтора дня. После чего в реестре (вот бы как-нибудь запретить вносить изменения в реестр) появляются три одинаковых ключа (один в HK_CU, второй HK_U, третий в в HKLM в автозагрузке) с названием shell. В них прописан командный сценарий на отключений sharedaccess через net1 и логина на какой-то левый сайт. После чего на диске С появляется файл 1.vbs и 1.bat, в котором прописано исполнение первого через wscript. Его нод определяет как вирус, но только если ткнуть в него пальцем, если делаем сканирование он его пропускает. AVZ отладчики системного процесса не находит, вирус не видит, и вообще считает, что система чистая и максимально защищена. В модуле ядра ничего левого нет. Теоретически, я понимаю, что что-то должно всю эту цепочку запускать, но абсолютно не понятно что. Может, есть смысл сразу же после установки системы создавать учетку гостя и работать под ней, а в админа заходить только по крайней нужде? Из программ подняты: SQLServer, на котором крутиться база системы электронного документооборота Сама система документооборота Нод lanwork локальный сервер обновлений ДубльГис (чья служба постоянно виснет при запуске) Комплексная бухгалтерская система СТЭК (она поднимает службу ibservice, на которую ругается AVZ) Ни одна из них не может так под себя систему менять. Link to comment Share on other sites More sharing options...
db74 Posted August 16, 2011 Report Share Posted August 16, 2011 пароль админа оставался прежним? посмотреть логи по карточкам можешь? вполне возможно тебя кто то атакует извне или завирусованна рабочая станция Link to comment Share on other sites More sharing options...
yellow_rabbit Posted August 16, 2011 Report Share Posted August 16, 2011 Ситуация следующая. прогуглилнашел толькоhttp://virusinfo.info/showthread.php?t=104140&highlight=Autorunно сам факт возникновения подобного на чистой системе для меня остается загадкой.поставить перед сервером нат, чтобы исключить атаки с инета. Link to comment Share on other sites More sharing options...
Голос Разума Posted August 19, 2011 Author Report Share Posted August 19, 2011 "Наши победили"(с) Оказывается червяк лез на шлюзовую банку лез откуда-то из внутренней сети. Ситуация решилась установкой вместо шлюза роутера и проброски необходимых портов до сервака. 5 дней - полет нормальный. Изо всех сил надеюсь, что проблема решилась насовсем. Всем спасибо за советы и подсказки. Тему можно закрывать. Link to comment Share on other sites More sharing options...
igorgri Posted August 20, 2011 Report Share Posted August 20, 2011 все хорошо, что хорошо кончается. Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now