Всё началось с исчезновения всех ехе с компьютера, затем было обнаружено, что после обновления Trend Micro Office Scan (наш корпоративный антивирус), он обнаружил вирус в файлах и закрыл их всех в карантин. Вернул все файлы назад, отключил тренд, запустил Куреит, тот нашел и вылечил файлы, через пол часа проверил, опять всё заражено.

Начал делать всё по правилам. 1. Запустил Куреит в безопасном режиме (Лог приложил)
2. перегрузил, запустил AVZ скрипт 3 - вылетел BSOD, матерился на nvmini.sys
3. перегрузил, запустил AVZ скрипт 2 (лог приложил)
4. запустил AVZ скрипт 3 всё прошло нормально (лог приложил)
5. перегрузил, запустил hijackthis (лог приложил)
6. перегрузил, запустил в безоп. режиме Куреит, тот снова начал находить зараженные файлы

логи ..............

Dump, у вас файловый вирус, воспользуйтесь этими (http://forum.oszone.net/post-780845-7.html) рекомендациями (лечить до тех пор, пока drweb не перестанет находить вирус). Насколько я помню в win2k3 нет службы восстановления системы, так что, имхо, отключать нечего.

Он снова появляется, в спешке проверял AVZ со старыми базами, это имеет значение (в плане логов) ? Сейчас пойду проверять заново, может ли быть так, что распространяется вирус по сети ? Потому, что ещё на двух серверах обнаружился он ?

воспользуйтесь этими рекомендациями »
Что касается проверки с загрузочного диска, у меня сервер с RAID 5 и WINPE просто не видит массив :(

Dump, c помощью AVZ бесполезно бороться с файловыми вирусами, он хорош в отлове других зловредов, лечите систему до тех пор, пока вирус перестанет обнаруживаться вот ещё рекомендации Как лечить файловый вирус (http://virusinfo.info/showthread.php?t=15927)
Для контроля можно ещё потом касперским проверить AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) или Kaspersky WebScanner (http://www.kaspersky.ru/virusscanner), после этого имеет смысл сделать sfc /sсannow
Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll

Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. »
А если это файловый сервер и доступ имеют порядка 250 человек (это второй сервер на котором я обнаружил вирь) то мне походу проще повесицо :) В связи с этим вопрос: Если у меня сейчас на файловом сервере "сидит" DrWeb 4.44 , сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу, и снова воткну в сеть. К сожалению ваши рекомендации: вот ещё рекомендации Как лечить файловый вирус »
прочитать не могу, потому что мой интернет ограничивается *oszone.net* :)

сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу »
это можно экспериментально проверить, включаете доступ только для себя, берете заведомо зараженный файл (проверить заражен ли он можно на virustotal.com, себе экземпляр оставляете) и закидываете на файловый сервер с включеным на нем антивирусом, смотрите поведение. У нас DrWeb не исп-ся, касперский (серверный) так троянов отлавливает, с файловыми вирусами инцендентов пока не было.
мой интернет ограничивается *oszone.net* »
вот что там:
В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.


Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.
источник (http://virusinfo.info/showthread.php?t=15927)

Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы »
Да уж видеокарту обязательно посмотрю завтра, как на работе буду .... потому как файл nvmini.sys , как я читал про win32.alman, является частью этого вируса .

nvmini.sys по логу syscure не имеет цифорвой подписи,
C:\WINDOWS\linkinfo.dll >>>>> Trojan-Downloader.Win32.Agent.bsi успешно удален
Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\nvmini.sys)
C:\WINDOWS\system32\drivers\nvmini.sys >>>>> Rootkit.Win32.Agent.ga успешно удален
по логам syscheck nvmini.sys имеет цифр. подпись NVIDIA, linkinfo.dll уже располагается в правильном месте C:\WINDOWS\system32\ и имеет цифр. подп. Microsoft, но проверить на VT не помешает.

После ДВУХ подряд проверок CureIT в безопасном режиме, на третьей проверке вирус перестал обнаруживаться. После перезагрузки в нормальный режим проверил ещё раз всё ОК, включил в сеть....посмотрим после обеда. Похоже, что проблема решена, но пока не буду ставить её таковой. Подождём до завтра

Dump, на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll
проверили?
Эксперимент проверли с DrWeb, отлавливаются вирусы, если в общую папку попадают извне?
Скачайте ещё раз AVZ (http://z-oleg.com/avz4.zip), по предыдущим логам AVZ версии 4.29 База поcледний раз обновлялась 12/12/2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты".
вложите в сообщение virusinfo_syscure.zip из папки AVZ\LOG

Pili, Ок немного попозже выложу, просто у меня в одной папке две разные версии AVZ сидели, перепутал, не ту запустил. На virustotal.com файлы не проверял, забыл домой с работы забрать. Как кстати их безопасно можно отправить, чтобы свой домашний комп не заразить, дома стоит KAV 7.0 обновляется как только сам захочет и-нет постоянно включен. Если я его на флешке принесу "каспер" же убьёт его, если там вирус. Или нам больше ничего и не нужно, кроме того, что они заражены?
Эксперимент с DrWeb ещё не проводил, не могу закрыть шары просто так, в рабочий день. Но агент периодически отлавливает файлы и лечит их, видимо сработает!

Dump, Да, нужно проверить заражены ли файлы, если каспер прибьет, то скрипт напишу по удалению, если не обнаружит, просто закидываете файлы на вирустотал и смотрите рез-т сканирования, домашний комп вряд ли заразите, это же не исполняемые файлы, а вообще, лучше заархивируйте эти файлы с паролем virus и пришлие мне на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него в ПМ (личку).
по поводу флешки, защита от autorun
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Но агент периодически отлавливает файлы и лечит их, видимо сработает! »
Агент сообщает какая раб. станция заражена? Если нет, имеет смысл поставить аудит на создание файлов и выявлять зараженные раб. станции, отключать их от сети и лечить.

Pili, Вот посмотрите Лог от агента, если я правильно понимаю, то Колонка "пользователь" - это тот, кто последний обращался к файлу и получается его заразил. Как видно все обращаются к одному файлу Colvir.exe это программа используемая у нас юзает этот файл. Всего около 200 человек, но как видно в логах заражение происходит именно после того, как 2-3 определённых человека обращаются к нему.

Включить аудит. Вы имеете ввиду аудит Винды?

Dump, на virustotal.com файлы
Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll »
Хотел забрать эти файлы ....их нет на сервере!

Dump, да, имелся ввиду аудит винды на папку, но видно, что опредить можно по логам агента DrWeb, статистика на высоте :)
Хотел забрать эти файлы ....их нет на сервере! »
можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys','');
QuarantineFile('Ati2evxx.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
пришлите quarantine.zip
LINKINFO.dll по новым логам нет
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

можно поискать через AVZ-сервис-поиск файлов на диске и добавить в карантин. или скриптом »
Пусто. файлов нет

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys)
Карантин с использованием прямого чтения - ошибка

Вот что сказал AVZ

Dump, вероятно остался только мусор в реестре, пришлите quarantine.zip на user15802[at]mail.ru и сделайте ещё логи с помощью утилиты Deckard's System Scanner (http://www.techsupportforum.com/sectools/Deckard/dss.exe). Скачайте, закройте все программы, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения. Если лог не получится, попробуйте ещё раз отключив антивирусные программы и firewall
и сделайте ещё лог virusinfo_syscheck.zip

Pili,
Я не на том сервере логи снимал :( Сейчас снял, всё нормально вечером вышлю вам файл quarantine.zip

С декарт сканером только завтра смогу логи снять.