[ Закрыто ] Вирусов уйма.

RSS
Прошу проверить машину, думаю заражена всем что можно.
santy Выручай! :)
Изменено: Владимир Шариков - 26.12.2013 13:00:10

Ответы

тогда сделайте новый образ автозапуска, глянем, что осталось.

а то RP55 растрезвонил уже на весь мир, что что-то пропустили.

фаерволл все таки есть в 2003.

Цитата
В марте 2005 года Microsoft выпустила Windows Server 2003 Service Pack 1, включающий несколько улучшений в брандмауэр данной серверной операционной системы.
Изменено: santy - 26.12.2013 19:08:24
Цитата
santy пишет:
а то RP55 растрезвонил уже на весь мир, что что-то пропустили.
:D
Цитата
santy пишет:
фаерволл все таки есть в 2003.
Да есть конечно же, если я не ошибаюсь во всех виндосах есть, я не встречал что бы не было, особенно в серверных ОС. Завтра сделаю образ. Но про вирусы что писал RP55 их нашел мальвербайт в первом моем запуске. С этой машиной старый админ постарался, выставил в свободном доступе(инэте), даже элементарного антивирусника нет, не говоря о фаирволе. Завтра сделаю.
ок, проверим по новому образу.
Образ
вот эту штуку еще надо прибить

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE
Имя файла                   PUP_SERVER.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Статус                      ВИРУС
Сигнатура                   Trojan.DownLoader9.2347 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2013-12-18 [2013-12-17 09:46:41 UTC ( 1 week, 2 days ago )]
Avast                       Win32:Malware-gen
Kaspersky                   Trojan.Win32.Staser.tvc
DrWeb                       Trojan.DownLoader9.2347
AntiVir                     TR/Downloader.Gen
ESET-NOD32                  a variant of Win32/Agent.QCV
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
File_Id                     52AD3E2D36000
Linker                      6.0
Размер                      61952 байт
Создан                      20.12.2013 в 13:33:00
Изменен                     20.12.2013 в 13:32:21
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 1436                  NT AUTHORITY\SYSTEM
CmdLine                     c:\windows\system32\PuP_SERVER.exe
Процесс создан              13:07:01 [2013.12.26]
С момента создания          20:13:23
parentid = 424              D:\WINDOWS\SYSTEM32\SERVICES.EXE
ESTABLISHED                 192.168.4.254:2128 <-> 183.94.213.88:9877
SHA1                        AD1881AAD5B629B0F9AFE4DE9E4632C01A064AA4
MD5                         FE845C76FCCEBF17EAC1A6C569F0939E
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\PuP_SERVER\ImagePath
ImagePath                   c:\windows\system32\PuP_SERVER.exe
PuP_SERVER                  тип запуска: Авто (2)
                           
Образы                      EXE и DLL
PUP_SERVER.EXE              C:\WINDOWS\SYSTEM32
                           

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE
addsgn 4ABC27D9553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3D8A6447F7971E2CB91697CFA608D5A897678F0E4089B04F1FFC2E415A9 8 Trojan.DownLoader9.2347 [DrWeb]

zoo C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
Сделал... Проблем не наблюдается... Большое Спасибо. С наступающим Вас!
Спасибо! желаю поменьше вирусов в Новом году! :)
-----------------------
соединение с каким-то датским айпишником.

Цитата
ESTABLISHED 192.168.4.254:2128 <-> 183.94.213.88:9877

https://www.nic.ru/whois/?query=83.94.213.88
Изменено: santy - 27.12.2013 10:36:33
это еще не мешает зачистить, хоть и не в автозапуске.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE

addsgn A7679BF0AA0254E34BD4C6E90C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6F10C49F75C4C32EF4CA94AE15DA3BE4AC965B2FC706AB7E 8 Trojan.Win32.Agent.adptx [Kaspersky]

zoo C:\WINDOWS\ISSERVICE.EXE
zoo %Sys32%\ISSERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
Изменено: santy - 27.12.2013 12:56:26
Читают тему (гостей: 2)