Trojan.Win32.Hosts2.gen (В файле Hosts)

[Владислав Ляпунов]

Доброе утро. Прошу помочь с очисткой вирусов.

Ситуация следующая: на сервере windows serser 2008 после включение или перезагрузки через пару минут отключается DNS-сервер, еще через несколько минут переходит в ручной режим запуска. Данное поведение службы дало подозрение на вирусы и было проведено сканирование утилитами Dr.Web CureIt! и Kaspersky Virus Removal Tool, утилиты нашли Trojan.Win32.Hosts2.gen  в файле Hosts, но вылечить или удалить не смогли. В каталоге C:\Windows\System32\drivers\etc\ было обнаружено Файл Hosts.conf и скрытый файл Hosts  с типом "системный файл"(скрин прилагаю). В файле hosts так же были внесены все хосты антивирусных ресурсов(прилагаю txt с содержимым файла). Далее было принято решение удалить вручную файлы   Hosts.conf и скрытый  Hosts и вставить чистый файл Hosts. После перезагрузки сервера файлы  Hosts.conf и скрытый файл Hosts  вернулись.

Так же на сервере невозможно открыть Regedit.exe. Прилагаю в тему журнал системы и архив autologger.

Заранее спасибо.

CollectionLog-2018.10.12-09.44.zip

содержимое хостс.txt

Журнал Системы.rar

[regist]

Соберите логи как указано в правилах. Кто-нибудь просил вас Shift нажимать при сборе логов?

[Владислав Ляпунов]

Простите, собрал логи без шифта.

 

CollectionLog-2018.10.12-14.31.zip

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

D:\dns.bat - вам знаком?

[Владислав Ляпунов]

Скрипт выполнен без ошибок  буквально за секунду. 

 

D:\dns.bat  был создан для запуска службы DNS- сервера, настроен в планировщике по событию, что бы обеспечить бесперебойную  работу сотрудников. в батнике прописано только одна строчка net start dns.exe 

Так называемый костыль( 

Report.7z