Помогите одолеть вирус

[Голос Разума]

Вирус проявляется как процесс cmd.exe. Тормозит брандмауэр, открывает доступ к удаленному рабочему столу, роняет консоль mmc.

Nod его не видит. Попытки закрыть доступ к cmd.exe либо переименовать его ни к чему не приводят. Такое чувство, что запускается по расписанию, но в планировщике его нет.

Время от времени появляются такие процессы, как net1.exe и wscript.exe.

Переустановкой системы с форматом системного диска НЕ ЛЕЧЕТСЯ.

Жажду помощи знающих...

[igorgri]

выкинь нод, выкинь сразу установочный диск.

 

nod32 в последнее время вообще стал отстойным антивирусом, выкинул егог полтора года назад - и забыл про вирусы... Ну и UVS поюзай - помогает однако. И Comodo поставь - тогда сразу увидишь, что за процессы полезли в сеть без твоего разрешения.

[Yustik]

Если диск отформатировали полностью - значит проблема либо не в вирусе, либо в дистрибутиве. Можно попробовать с другого установочника с форматированием всего диска.

[Мурзилка]

возможно вирус сидит на других логических (физических) дисках в системных каталогах, например в корзине или в "System Volume Information". Их тоже можно поудалять перед установкой чистой винды. Ну, и диск установочный конечно поменять. Очень желательно использовать НЕ сборки (куда натыкано уже много стороннего софта), а поставить чистую ОС, потом обновиться и поставить антивирус. у меня стоит comodo - фриварный, проблем нет уже около года, до этого был платный каспер - большой разницы в качестве работы не заметил. после установки проверить свои пользовательские данные на наличие вирусов.

[Голос Разума]

ОС Windows Server 2003 Enterprise Edition лицензия, не сборка.

[yellow_rabbit]

avz - исследование системы, сюда можно лог.

 

PS: надеюсь терминальный сервер на нем не поднят?

Изменено 11 августа, 2011 пользователем yellow_rabbit

[buffik]

+1 к УВС

попробуй проверить этим сканером - часто выручает тынц

[Голос Разума]

Лог во вложении. Что-то нашла AVZ, что-то нашел CUREIT, что-то нашел NOD. А вирус до сих пор живее все живых.

 

avz_sysinfo.htm

[yellow_rabbit]

Прикольная система.

 

в AVZ - файл - выполнить скрипт, туда скопировать строки же, нажать выполнить.

скрипт будет отрабатываться, после чего комп перезагрузится.

скрипт может отрабатываться до 10мин, это нормально.

 

после перезагрузки опять файл - сканирование системы.

 

непосредственно вирус (можно самостоятельно потом будет глянуть в логе эту строчку)

C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys

учитывая что он работает на уровне ядра системы поэтому не удивительно

1. его не видят антивирусы

2. он их блокирует

3. не видно файлов вируса

4. не видно в заданиях самих заданий.

удачи.

 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys');
 BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\911gR0F6.sys');
 DeleteFile('C:\WINDOWS\System32\f.exe');
 BC_DeleteFile('C:\WINDOWS\System32\f.exe');
 DeleteFile('C:\WINDOWS\System32\g.exe');
 BC_DeleteFile('C:\WINDOWS\System32\g.exe');
 DeleteFile('C:\WINDOWS\System32\h.exe');
 BC_DeleteFile('C:\WINDOWS\System32\h.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

PS: в следующие сканирования системы просьба выполнять с минимальным количеством запущенных приложений.

[Голос Разума]

Сделал. Ожил NOD, вспомнил, что должен вирусы ловить. Avz обнаружил (НАКОНЕЦ-ТО) 5 отладчиков системного процесса. Пока все работает, правда вирус пожрал мне NETFramework...

В прикреплении два исследования системы.

Безопасный режим.htm

Нормальный режим.htm

[yellow_rabbit]

больше подозрительного ничего не видно.

надеюсь наши победили.

 

фреймворк - не сильно большая проблема на фоне всего остального.

[Голос Разума]

Подождал, посмотрел. Опять старая картина. Куча процессов cmd и net1. Опять открыт доступ к удаленному рабочему столу. Делаю исследование системы (файл в приложении, специально делал его не удаляя процессы), того файла в ядре нет. Значит, запускает что-то другое...

ЗЫ Может уже легче винду снести?

avz_sysinfo.htm

[igorgri]

странно что находят вирусы в папках темп. Первым делом что делаю с компом - запускаюсь с системного CD и сношу все в темповых и кэшевских папках. И на 75% сразу исчезают вирусы. Попробуй все же uvs - он находит в реестре левые записи.

[yellow_rabbit]

Подождал, посмотрел. Опять старая картина.

 

как долго ждать? перегружался?

по логу сейчас ничего подозрительного нет.

учитывая настройку системы, может установленные программы делают изменения системы под себя?

[Голос Разума]

Ситуация следующая. Все сносим, ставим стерильную систему. Сразу же в gpedit вырубаем автозагрузку со всех носителей от греха подальше, отрубаем выполнение любых командных сценариев, отрубаем доступ к выполнению wscript, вырубаем удаленный рабочий стол. Разворачиваем необходимые проги. Врубаем обе сетевые карты. Врубаем ноду фаервол и общий доступ в интернет. Ждем. Последний раз ждал полтора дня. После чего в реестре (вот бы как-нибудь запретить вносить изменения в реестр) появляются три одинаковых ключа (один в HK_CU, второй HK_U, третий в в HKLM в автозагрузке) с названием shell. В них прописан командный сценарий на отключений sharedaccess через net1 и логина на какой-то левый сайт. После чего на диске С появляется файл 1.vbs и 1.bat, в котором прописано исполнение первого через wscript. Его нод определяет как вирус, но только если ткнуть в него пальцем, если делаем сканирование он его пропускает. AVZ отладчики системного процесса не находит, вирус не видит, и вообще считает, что система чистая и максимально защищена. В модуле ядра ничего левого нет. Теоретически, я понимаю, что что-то должно всю эту цепочку запускать, но абсолютно не понятно что.

Может, есть смысл сразу же после установки системы создавать учетку гостя и работать под ней, а в админа заходить только по крайней нужде?

Из программ подняты:

SQLServer, на котором крутиться база системы электронного документооборота

Сама система документооборота

Нод

lanwork

локальный сервер обновлений ДубльГис (чья служба постоянно виснет при запуске)

Комплексная бухгалтерская система СТЭК (она поднимает службу ibservice, на которую ругается AVZ)

Ни одна из них не может так под себя систему менять.

[db74]

пароль админа оставался прежним?

 

посмотреть логи по карточкам можешь?

вполне возможно тебя кто то атакует извне

или завирусованна рабочая станция

[yellow_rabbit]

Ситуация следующая.

 

прогуглил

нашел только

http://virusinfo.info/showthread.php?t=104140&highlight=Autorun

но сам факт возникновения подобного на чистой системе для меня остается загадкой.

поставить перед сервером нат, чтобы исключить атаки с инета.

[Голос Разума]

"Наши победили"(с)

Оказывается червяк лез на шлюзовую банку лез откуда-то из внутренней сети. Ситуация решилась установкой вместо шлюза роутера и проброски необходимых портов до сервака. 5 дней - полет нормальный. Изо всех сил надеюсь, что проблема решилась насовсем.

Всем спасибо за советы и подсказки.

Тему можно закрывать.

[igorgri]

все хорошо, что хорошо кончается.