MEM:Trojan.Win32.EquationDrug.gen проверка не дала результатов

[CrosZzzz]

добрый день проблема аналогичная, но только на серваке, MEM:Trojan.Win32.EquationDrug.gen  . win2003server_r2. лечение невозможно и удаление тоже. сервер виртуальный.

 

Сообщение от модератора thyrex

Вынесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=56930

[regist]

добрый день проблема аналогичная

Добрый .

Прочитайте и выполните: Порядок оформления запроса о помощи

 

[CrosZzzz]

При проверке на вирусы обнаружен: MEM:Trojan.Win32.EquationDrug.gen, который соответственно не удалился и не вылечился. данная проблема на серваке 2003р2.  по рекомендации собрали логи и прикрепили,

CollectionLog-2017.12.05-14.55.zip

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

[CrosZzzz]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

поясните пожалуйста деревянному, это надо сделать на самом сервере администрирования или что именно подразумевается из консоли, не догоняю малость

[Sandor]

на самом сервере администрирования

Да, именно так.

[CrosZzzz]

пересоздал лог

CollectionLog-2017.12.05-15.51.zip

[Sandor]

По-прежнему

AVZ запущен из терминальной сессии (RDP-Tcp#1)

[CrosZzzz]

надеюсь это оно

CollectionLog-2017.12.05-16.26.zip

[Sandor]

надеюсь это оно

Да.

 

Таким же образом соберите такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[CrosZzzz]

лучше переспрошу еще раз: это точно на сервере администрирования делать надо или все же на зараженном сервере все операции проводить?

[Sandor]

Гм-гм

 

Конечно

на зараженном сервере все операции проводить

[CrosZzzz]

тут проблема в том, что сервер виртуальный, и войти в него можно только либо через Hyper-terminal,  что тоже при запуске autologger пишет, что нужно запустить через консоль, либо через просто MSTSC, как было ранее.

[regist]

1) Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 и все последующие обновления безопасности.

 

2)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[CrosZzzz]

обновления то для server2008 есть, а не для 2003