Przy łączeniu się z internetem komputer "zasysa" w

Witam,
mam poważny problem.
Krótko opiszę co jest grane:

Komputer - serwer (windows 2003 server)
Zainstalowany Symantec Antyvirus + SuperAntiSpyware + Dr Web (wersja bez instalowania)
Codziennie praktycznie server wręcz "zasysa" różnego typu virusy, robaki. Dr Web opisuje je zazwyczaj jako BackDoor, trojanki itp.
A jest ich po prostu od GROMS.
Ostatnio ponad 900.
Połowa w folderze system32 w folderach o nazwach mniej więcej "gfdbdkjfdsfd" w których pliki nazywają się A001.exe itp.

Od kilku dni walczę z tym i nie mogę sobie poradzić.
Co wyczyszczę system to po podłączeniu do internetu zasysa ponownie.
Dodam jeszcze że serwer posiada 2 sieciówki (udostępnianie łącza jest zrobione + usługa "zdalny pulpit" )
Do tego szkodniki usuwają wpisy w rejestrze i np. blokują dostęp do zapory windows (muszę dodawać plik rejestru sharedaccess.reg oraz komendy w wierszu poleceń "CMD /K NETSH FIREWALL RESET") Inaczej nie ma dostępu do internetu osoba, która łączy się poprzez 2 sieciówkę - zapora windows blokuje.

Do sieci podłączonych jest około 50 komputerów (skanowałem już praktycznie wszystkie)

Podaję log z OTL.
Combofix i Avenger nie działają pod 2003 serwer.
Dodam jeszcze, że OTL próbowałem już kasować pliki, ale nie mogę pozbyć się wszystkiego..
Pomysłów już kompletnie nie mam... proszę o pomoc...

Po co tutaj piszesz skoro juz wczesniej napisales na SE itd?

Uzyj konsoli odzyskiwania i przy jej pomocy usun:
C:\WINDOWS\System32\MMX7S9
C:\WINDOWS\System32\JHV
C:\WINDOWS\System32\iSql
C:\WINDOWS\System32\erpsx.bmp

Nastepnie uzyj OTL ze kryptem, ktory juz Ci podali na SE.

Witam,
nie pisałem bo walczyłem nadal z tym serwerem;)

Pisałem na SE, ale niestety wątek stoi w miejscu i nie wiem czy ktoś jest w stanie mi pomóc.
Jeśli nie masz nic przeciwko to podam log z OTL.
Usunąłem te pliki które mi wskazałeś programikiem - KillBox.

Poza tym mam jeszcze inny problem, ale może nie wszystko na raz... Chciałbym abyś prowadził ten wątek jeśli możesz i pomóc mi skończyć...

Z góry dziękuję.

Wyglada ok.

Wklej do OTL:

:OTL
DRV - File not found [Kernel | Unknown | Running] -- -- (Oraber)
O4 - HKU\S-1-5-21-736918724-1550886709-2363648436-500..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found


Odinstaluj/usun:
Ejecutar Spycheck, Spycheck Fast AntiSpyware
SuperAntiSpyware
+ usun resztki:
KAV, NOD, Combofix, Avenger, RootRepeal itd.

Co do NOD to instalujesz go jako administratora?

Witam,
Noda instaluje normalnie - z konta administratora.
Ale problem jest taki, że przy instalacji pojawia się komunikat :
"Nie powiodło się uruchomienie usługi "Eset Service" (ekrn). Upewnij się, czy masz odpowiednie uprawnienia, aby uruchamiać usługi systemowe.

Do tego podczas logowania (przed wpisaniem hasła) pojawia się komunikat o tym, że ,"Przynajmniej jedna usługa lub jeden sterownik nie dały się uruchomić podczas uruchamiania systemu. Użyj podglądu zdarzeń, aby znaleźć szczegółowe informacje informacje w dzienniku zdarzeń"

To są jedne z kilku błędów, jak coś to mogę dać więcej.
http://img46.imageshack.us/i/blad2b.jpg/
http://img163.imageshack.us/i/blad1l.jpg/

Ta usluga z Bios w nazwie ma losowa nazwe, mozesz ja usunac.
Wpisz tez w uruchom: sfc /scannow

Kolobos wrote:

Ta usluga z Bios w nazwie ma losowa nazwe, mozesz ja usunac.
Wpisz tez w uruchom: sfc /scannow

A jak je usunąć?

sfc /scannow[/quote] - coś tam mignęło, później była informacja o tym, że system skanuje w poszukiwaniu .. ale na tym się skończylo... 10 min poczekałem i nic.

Nie mogę niestety zainstalować żadnego antywirusa;/

Nie chcę robić formata bo to ostateczność

Wpisz w uruchom: sc stop nazwa_uslugi
oraz: sc delete nazwa_uslugi

Sprobuj uzyc: Rootkit Unhooker lub cos z tego:
http://www.antirootkit.com/blog/category/gmer/
Jak Ci sie uda z ktoryms to daj log/screen.

Poskanuje kilkoma i wrzucę...niestety (dla mnie) dopiero jutro je wrzucę.

Ok,
mam już logi:
GMER:
http://www.wklej.org/id/270564/

RootkitReveal:
http://www.wklej.org/id/270565/

oraz postanowiłem dać log z hijackthis:
http://www.wklej.org/id/270566/
Przy czym z hijackthis nie robiłem żadnej akcji.


Daję jeszcze logi z OTL:
Extras:
http://www.wklej.org/id/270568/
OTL:
http://www.wklej.org/id/270569/


No i jeszcze log z MBAM:
http://www.wklej.org/id/270573/

Taki miałem komunikat z MBAM:
http://img208.imageshack.us/img208/2963/mbam.jpg

Ciagle to samo.

Wklej do OTL:

:OTL
DRV - File not found [Kernel | Unknown | Running] -- -- (Oraber)
O27 - HKLM IFEO\360hotfix.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360rp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360rpt.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360safe.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360safebox.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360sd.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360se.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360SoftMgrSvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360speedld.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\360tray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ast.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avcenter.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avgnt.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avguard.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avmailc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avwebgrd.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\bdagent.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\CCenter.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccSvcHst.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Đ޸´ą¤ľß.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ekrn.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kavstart.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kissvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kmailmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kpfw32.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kpfwsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\krnl360svc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kswebshield.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\KVMonXP.kxp: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\KVSrvXP.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\kwatch.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\livesrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Mcagent.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcmscsvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\McNASvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Mcods.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\McProxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\McSACore.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Mcshield.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcsysmon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mcvsshld.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MpfSrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MPMon.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC1.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MPSVC2.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\msksrver.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\qutmserv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\RavMonD.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\RavTask.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\RsAgent.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\rsnetsvr.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\RsTray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\safeboxTray.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ScanFrm.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\sched.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\seccenter.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\SfCtlCom.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\TMBMSRV.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\TmProxy.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\UfSeAgnt.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\vsserv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\zhudongfangyu.exe: Debugger - ntsd -d (Microsoft Corporation)

:Services
Oraber

Po wykonaniu daj nowy log z OTL tylko zmien "Files created within" na All i dopiero Run Scan.

Poszło z OTL - fix
http://www.wklej.org/id/270573/

oraz LOG po skanowaniu.
Niby jest ok.

Dalej widac ta pusta usluge:
DRV - File not found [Kernel | Unknown | Running] -- -- (Oraber)
Sprobuj ja usunac w gmerze (zakladka uslugi).

Mbam mozesz zostawic, reszta do kasacji:
C:\Documents and Settings\Administrator\Pulpit\RootkitRevealer
C:\rsit
C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller
C:\Program Files\NortonInstaller
C:\Documents and Settings\All Users\Dane aplikacji\Symantec
C:\Documents and Settings\Administrator\Pulpit\ATF-Cleaner.exe
C:\Program Files\RegCleaner
C:\Documents and Settings\Administrator\Pulpit\avz4
C:\Documents and Settings\Administrator\Pulpit\AppRemover.exe
C:\Documents and Settings\Administrator\Pulpit\Avast.Internet.Security.5.0.326.Beta_LatestPirate.com_SaYeM
C:\!KillBox
C:\Program Files\Trend Micro
C:\Documents and Settings\Administrator\Pulpit\HJTInstall.exe
C:\Program Files\CCleaner
C:\combo dla 2003
c:\Documents and Settings\Administrator\Pulpit\mbam.JPG
C:\Documents and Settings\Administrator\Pulpit\RootkitRevealer.zip
C:\Documents and Settings\Administrator\Pulpit\20071210_182632_rku37300509.rar
C:\Documents and Settings\Administrator\Pulpit\sz4jid6y.exe
C:\Documents and Settings\Administrator\Pulpit\dds.scr
C:\Documents and Settings\Administrator\Pulpit\RSIT.exe
C:\Documents and Settings\Administrator\Pulpit\cc_20100128_075211.reg
C:\Documents and Settings\Administrator\Pulpit\cc_20100128_074412.reg
C:\Documents and Settings\Administrator\Pulpit\cc_20100128_074316.reg
C:\Documents and Settings\Administrator\Pulpit\regcleaner.exe
C:\Documents and Settings\Administrator\Pulpit\blad 2.JPG
C:\Documents and Settings\Administrator\Pulpit\blad 1.JPG
C:\Documents and Settings\Administrator\Pulpit\fix.bat
C:\Documents and Settings\Administrator\Pulpit\avz4.zip
C:\Documents and Settings\Administrator\Pulpit\neft.JPG
C:\Documents and Settings\Administrator\Pulpit\ehdrv.JPG
C:\Documents and Settings\Administrator\Pulpit\antivir_server_2k3_en.exe
C:\Documents and Settings\Administrator\Pulpit\blad.JPG
C:\Documents and Settings\Administrator\Pulpit\HijackThis.lnk
C:\Documents and Settings\Administrator\Pulpit\eset.JPG
C:\Documents and Settings\Administrator\Pulpit\CCleaner.lnk
C:\fix.reg
C:\avenger.exe
C:\ComboFix.exe

Na koniec uzyj: TFC.exe

Probowales juz zainstalowac jakis antywirus?

Witam,
to co napisałeś zrobię w poniedziałek. Komputer jest w pracy:)

Antywirusa próbowałem instalować, ale nadal to samo;/
Krzyczy, że nie mam uprawnień administratora aby uruchamiać usługi systemowe oraz, że usługa Eset service (ekrn) nie powiodła się.

Próbowałem instalować Avire, Nortona.. niby instalacja idzie.. ale później wychodzą głupie błędy.

Symanteca instalowałem również - cała instalacja poszła, ale po zakończeniu jakby ona w ogóle nie istniała;/
Nie było jego nigdzie - ani w PF, ani w rejestrze... jakieś cuda

Prawdopodobnie będę zmuszony zrobić format...

Tak tych wirusow nie zwalczysz, to co tam masz zawsze bedzie oglupiac i wylaczac kazde oprogramowanie antywirusowe itp. Jesli nie mozesz nic zainstalowac w trybie awaryjnym wyjmij dysk z komputera-serwera i podlacz go do innego komputera na ktorym swobodnie bedziesz mogl zainstalowac kazde oprogramowanie antywirusowe i skanowac ten dysk jako nie systemowy a dodatkowy.
Uzywaj tez skanerow online takich jak Kaspersky, Bitdefender, F-secure. W niektorych z nich mozesz wskazac katalogi do skanowania (czyli dysk zaifekowany) w niektorych musisz skanowac wszystko jak leci. Uzywaj rowniez pelnych wersji 30- dniowych. Jak przeskanujesz jednym to skanuj zaraz drugim. Rozne skany znajda rozne wirusy.
Niestety cale to skanowanie jest czasochlonne wiec jesli uwazasz ze szybciej bedzie zrobic kopie zapasowa wszystkich danych i zainstalowac serwer od nowa to napewno zagwarantuje Ci to zdrowy system na koncu. Po kilku skanach roznym oprogramowaniem wirusy stana sie na tyle bezsilne ze bedziesz mogl wystartowac system na serwerze i zainastalowac na nim spybot, hijackthis, powtorzyc wskazowki z tego posta itp i posprzatac niedobitki oraz zle wpisy w rejestrze.
Jak widzisz duzo z tym pracy ale jak dobrze powalczysz to beda rezultaty. Moze przez weekend kiedy ten serwer jest nie potrzebny sie wyrobisz.
!!!Pamietaj o zabezpieczeniu wszystkich waznych danych na zewnetrznym nosniku!!!

Pozdrawiam.

Moze na przyszlosc pomysl o wykonywaniu kopii zapasowej partycji, wtedy nie bedzie trzeba reinstalowac jak ponownie ktos go zainfekuje.

Dzięki za rady...
w poniedziałek zajmę się za format.
Mam jeszcze jednak pytanie.
Wcześniej na tym serwerze miałem 2 dyski połączone w RAID2 podajże.
Jakiś rok temu na tym serwerze na jednym z dysków coś się działo i po prostu usunąłem RAID 2 i system chodził na 1 dysku (2gi był odłączony).
Jak zrobić teraz RAID2 - czy formatować najpierw 1 dysk, zainstalować system i dopiero później podłączyć w RAID2 2gi dysk?
Na 2gim jest też system(niesprawny).
Jeśli to pytanie nie jest w tym miejscu to napiszę jeszcze raz w innym dziale.

Dzięki jeszcze raz