Maugli_kzn Опубликовано 2 октября, 2019 Опубликовано 2 октября, 2019 Добрый день! На сервере win 2008 r2 стоит антивирус касперского, но при этом замечаю некое странное поведение - подозрительно долго открываются сетевые ресурсы. (Ранее он был заражен вирусом, вроде вылечил, но возможно остались следы) Не смогли бы посодействовать в избавлении от этой заразы? файл лога AutoLogger прикладываю Заранее спасибо CollectionLog-2019.10.02-08.30.zip
Sandor Опубликовано 2 октября, 2019 Опубликовано 2 октября, 2019 @Maugli_kzn, это другой компьютер? Файлы C:\Users\din\Desktop\Miner18\Gogo.bat c:\windows\system32\wbem\123.bat вам известны? Следы Dr.Web очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса.
Maugli_kzn Опубликовано 2 октября, 2019 Автор Опубликовано 2 октября, 2019 нет, не мои эти батники... есть несколько батников - они в корне диска С
Sandor Опубликовано 2 октября, 2019 Опубликовано 2 октября, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Maugli_kzn Опубликовано 2 октября, 2019 Автор Опубликовано 2 октября, 2019 прикрепил Addition.txt FRST.txt
Sandor Опубликовано 2 октября, 2019 Опубликовано 2 октября, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ATTENTION WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ATTENTION WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ATTENTION WMI:subscription\__EventFilter->fuckyoumm2_filter::[Query => select * from __timerevent where timerid="fuckyoumm2_itimer"] <==== ATTENTION WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer_disabled::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] MSCONFIG\startupreg: BGClients => cmd /c start /min c:\windows\system32\wbem\123.bat End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве.
Maugli_kzn Опубликовано 2 октября, 2019 Автор Опубликовано 2 октября, 2019 в данный момент перезагрузить сервер нет возможности. Через час перезагружу, спасибо! прикрепил Fixlog.txt
Maugli_kzn Опубликовано 2 октября, 2019 Автор Опубликовано 2 октября, 2019 сделал. лог прикладываю. при включении какая-та служба пытается запустить 123.bat из папки c:\windows\system32\wbem\123.bat но не находит файл Fixlog.txt
Sandor Опубликовано 3 октября, 2019 Опубликовано 3 октября, 2019 Виноват, это я пропустил, сейчас исправим. "Пофиксите" в HijackThis: O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat
Maugli_kzn Опубликовано 3 октября, 2019 Автор Опубликовано 3 октября, 2019 Виноват, это я пропустил, сейчас исправим. "Пофиксите" в HijackThis: O4 - HKLM\..\Run: [BGClients] = C:\Windows\system32\cmd.exe /c start /min c:\windows\system32\wbem\123.bat сделал. Меня еще смущают в отчете программы HijackThis ссылки на dns 8.8.8.8
Sandor Опубликовано 3 октября, 2019 Опубликовано 3 октября, 2019 Смотрите настройки сетевого адаптера, если считаете это неправильным.
Maugli_kzn Опубликовано 3 октября, 2019 Автор Опубликовано 3 октября, 2019 Смотрите настройки сетевого адаптера, если считаете это неправильным. в настройках сетевой карты нету этого dns. Там только dns контроллера домена указан.
Sandor Опубликовано 3 октября, 2019 Опубликовано 3 октября, 2019 Эти две строки можете тоже "пофиксить".
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти