Владислав Ляпунов Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Доброе утро. Прошу помочь с очисткой вирусов. Ситуация следующая: на сервере windows serser 2008 после включение или перезагрузки через пару минут отключается DNS-сервер, еще через несколько минут переходит в ручной режим запуска. Данное поведение службы дало подозрение на вирусы и было проведено сканирование утилитами Dr.Web CureIt! и Kaspersky Virus Removal Tool, утилиты нашли Trojan.Win32.Hosts2.gen в файле Hosts, но вылечить или удалить не смогли. В каталоге C:\Windows\System32\drivers\etc\ было обнаружено Файл Hosts.conf и скрытый файл Hosts с типом "системный файл"(скрин прилагаю). В файле hosts так же были внесены все хосты антивирусных ресурсов(прилагаю txt с содержимым файла). Далее было принято решение удалить вручную файлы Hosts.conf и скрытый Hosts и вставить чистый файл Hosts. После перезагрузки сервера файлы Hosts.conf и скрытый файл Hosts вернулись. Так же на сервере невозможно открыть Regedit.exe. Прилагаю в тему журнал системы и архив autologger. Заранее спасибо. CollectionLog-2018.10.12-09.44.zip содержимое хостс.txt Журнал Системы.rar
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Соберите логи как указано в правилах. Кто-нибудь просил вас Shift нажимать при сборе логов?
Владислав Ляпунов Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Простите, собрал логи без шифта. CollectionLog-2018.10.12-14.31.zip
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. D:\dns.bat - вам знаком?
Владислав Ляпунов Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Скрипт выполнен без ошибок буквально за секунду. D:\dns.bat был создан для запуска службы DNS- сервера, настроен в планировщике по событию, что бы обеспечить бесперебойную работу сотрудников. в батнике прописано только одна строчка net start dns.exe Так называемый костыль( Report.7z
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти