Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Здравствуйте. Имеется 2 сервера на Windows Server 2003 с установленным СУДОС, взаимосвязанные между собой. С 2009 года все работало стабильно, если что то и случалось, то восстанавливалось с готового образа. Неделю назад на всех рабочих местах начало выбивать (перезагружаться) программу "СУДОС", при этом на сервере все работает стабильно. Поддержка пытается помочь, но пока тоже бессильна. Нашли вирус на сервере, который перемещал скрывал и перемещал папки, как раз в базе этого судоса. Вылечили, вылечили рабочие места, восстанавливали базу, ничего не помогло. Делали восстановление рабочего образа от ноября 2020 года, так же ничего не изменилось. Собрал и прикрепил логи, в одном архиве логи обоих серверов srv1,2, в другом логи трех рабочих мест. Прошу помощи, проблема длится уже 2 недели.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\networkdistribution\svchost.exe', '');
QuarantineFile('c:\windows\system32\dllhostex.exe', '');
DeleteFile('c:\windows\networkdistribution\svchost.exe', '32');
DeleteFile('c:\windows\system32\dllhostex.exe', '32');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Конечно лечить winXP это закрывать решето пальцами.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Общее замечания по созданным темам. На рабочих ПК работает майнер, по серверам на первый взгляд чисто, но как разберемся с майнером нужно будет еще раз посмотреть логи.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\system32\dllhostex.exe');
QuarantineFile('c:\windows\system32\dllhostex.exe','');
QuarantineFile('c:\windows\system32\remotessdpevent.dll','');
DeleteFile('c:\windows\system32\dllhostex.exe','32');
DeleteFile('c:\windows\system32\remotessdpevent.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteSSDPEvent\Parameters','ServiceDll','x32');
BC_Activate;
ExecuteSysClean;
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
отправил quarantine.zip с помощью формы. Имя: 2021.08.10_quarantine_882d51904011f110aaec25994918b0bb.7z
Так же прикрепил логи FRST в архиве karaul;
После выполнения второго скрипта, ПК перезагрузился, прикрепил на всякий случай файлы ошибки .dmp и .xml в архиве
Ошибку перезагрузки выдала AVZ при попытке принудительно завершить процесс майнера.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
VirusTotal:C:\Documents and Settings\начкар\Local Settings\Temp\2d257a78e46a.sys
2021-08-09 17:21 - 2021-08-10 08:22 - 000000000 ____D C:\WINDOWS\NetworkDistribution
S2 RemoteSSDPEvent; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Windows Component Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
NETSVC: RemoteSSDPEvent -> no filepath.
NETSVC: RemoteSSDPEvent -> no filepath.
NETSVC: RemoteSSDPEvent -> no filepath.
StandardProfile\AuthorizedApplications: [C:\WINDOWS\4262326277\winnymj.exe] => Enabled:Microsoft Windows Driver
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
С помощью редактора реестра зайдите в куст HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, скопируйте значение параметра netsvcs и процитируйте его в своем следующем сообщении.
С помощью редактора реестра зайдите в куст HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, скопируйте значение параметра netsvcs и процитируйте его в своем следующем сообщении.