Вирус Intrusion.Win.NeTAPI.buffer-overflow.exploit, как пролечить Windows 2003
 

День добрый!
Помогите пролечить машину-сервер, работает под Windows 2003 от вирусa, который определила через вываливающееся сообщение
"Приложение будет завершено - Generic Host Process for Win32 Services".
На сервере никакого антивирусника не стоит, чтобы не утежелять процесс быстродействия расчетов в 1С. Остальные все машины под лицензионным DrWeb Enterprise Suite (+Windows Server), но не ругаются, обращаясь к серверу. Только на одной машине, где стоит лицензионный Касперский выпадает сообщение, что с адреса IP-сервера была атака Intrusion.Win.NeTAPI.buffer-overflow.exploit, после чего связь с сервером обрывается. Машина видит сервер, но подключиться не может, спасает только перезагрузка.
Запустить AVP TOOLS от Касперского не удалось, просто выбрасывает его с ошибкой.
Логи прилагаю.

Прочитайте и выполните http://support.kaspersky.ru/kis2009/error?qid=208636215

Спасибо. Дальше еще что-нибудь делать надо или только наблюдать?

Утилита нашла что-нибудь?

Утилита нашла много, как показалось мне.
Первый раз запустила без всяких ключей, работала минут 7, потом в последних 6-7 строках (все на английском) стояла значения напротив строк 1 и 7 (Чаще 7).
Эта же утилита запущена на компе с Каспером, которая выталкивала и отключала сервер 2003 в последних строках протокола показала все 0.
Второй раз запустила на сервере на ночь со всевозможными ключами. Работает до сих пор. Вот прилагаю скрин экрана. Сама только догадываюсь о чем пишут там, помогите расшифровать. Но утилита продолжает работать.
Спасибо. Жду дальнейших рекомендаций к действиям.

День добрый!
Могут ли такие протоколы утилиты kk.exe на рабочих станциях говорить о том, что они не повреждены сетевым вирусом Intrusion.Win.NeTAPI.buffer-overflow.exploit.

Протоколы в прикрепленных файлах. Спасибо.

После окончания работы утилиты на сервере выложите rep.txt

Логи с рабочих станций чистые

Спасибо!
kk.exe на сервере еще работает. Глядя на протокол rep.txt, то меняется и время и объем. Я сделала частичную копию протокола и отправляю вам. Может ли там долго работать утилита kk.exe (со вчерашних 15-00 по Москве)?
Как быть? Файл-протокол в сжатом виде тянет на 7 Mb. Не могу вам отправить.
Добавлю, что рабочая станция, на которой Каспер ловил атаку с IP-адреса сервера и отключал его, сегодня работает без пробем (уже 6 часов)! Спасибо.

Когда проверка закончится полностью, отчет упакуете, выложите на файлообменник и сообщите ссылку

День добрый!
Утилита работает до сих пор. Меняется размер файла протокола и дата создания.
Она не может циклит?

Вы случайно режим мониторинга не включили (ключ -m)? В таком случае утилита будет работать вечно :)

День добрый!
Утилита работает уже несколько суток подряд. Размер файла-протокола вырос до 2,3 Гб, продолжает меняться размер файла протокола и дата создания.
Есть ли смысл ждать окончания работы утилиты?

В сообщении над Вашим задан вопрос. Ответьте на него

День добрый!
Конечно же, с ключом -m.
Я об этом писала, когда запустила утилиту второй раз "Второй раз запустила на сервере на ночь со всевозможными ключами..."
Я прилагала файл, скрин с экрана, думала, что вы там все это дело увидите.
Проблемы на втором компе, где стоял Каспер, который отключал сервер ушли.
Вот командная строка, как я запустила на несколько суток утилиту:
"kk.exe -f -l rep.txt -v -z -x -a -m -j"

А вот некоторые сообщения с "черного экрана", которые вышли в процессе работы утилиты:
"d:\Windows\system32\zfyspqu.dll infected Net-Worm.Win32.Kido... cured
infected thread was killed in process svchost.exe with PID 1044"

День добрый! Еще раз!
ТОлько что отработала утилита со след опциями "kk.exe -f -l rep1.txt -v".
Файл-протокол вам высылаю.
Комп не перезагружала.
Опцию "-m" - мониторинг понимала. как протоколирование и отображение всех процессов, выполняемых в ходе выполнения утилиты в режжиме реального времени на экране монитора, но никак НЕ "В таком случае утилита будет работать вечно".
Спасибо за разъяснение.

И где файл отчета?

Извините, моя невнимательность, файл оказался опять огромным для размещения на этом сайте. Пошла через файлообменник.
вот ссылка на сайт - <a href="http://www.sharemania.ru/0153110" target=_blank><img src="http://www.sharemania.ru/download.gif"></a>

Ссылка на файл - http://www.sharemania.ru/0153110

В логе порядок

Огромное спасибо!!!! Тему закрываю.