Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Посмотреть логи на наличие зловредов (http://forum.oszone.net/showthread.php?t=192316)

__sa__nya 26-11-2010 06:48 1551824
Посмотреть логи на наличие зловредов
 
Доброе время суток. Имеется почтовый сервер, который уже 2 раза попадал в черный список спам-рассылки (http://cbl.abuseat.org). На сервере установлен Симантек, так же уже проходился лечилками CureIt и Kaspersky Virus Removal tool - ничего не нашли. Но на всякий случай собрал логи, чтобы еще раз проверить, не сидит ли на сервере что-нибудь очень хитрое, что пропустили лечилки.

zirreX 26-11-2010 16:28 1552156
Здравствуйте!Активного заражения не вижу.

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\temp\pdk-system\aa33d263ba8b3dd9f60e51317caf233f\perl58.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\222b2cd286d7221e4a55e436c190dd48.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\fdd245dad343408ec5c5ce822278a3ef.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\928eff5d1bf763abff3068620c0b86b8.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\447fb48712dd486a9cd82c51b98d23f0.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\50950b5b470c0d52ac0033d613e39f91.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\97a2e6443b947d806decd51d47431523.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\2ccfaf7bb3a4cf27fd33fe6d3bb6e380.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\41aee7954778794bd4714ea7448138b2.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\ec88994dca352281e37972313e1051d3.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\28e3b3c92d9d2a4e693dcf4167d15435.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\dad8a2781d545b007729f2cb48fd26bf.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\bd861f3e03052af93272c100d252f5e2.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\0b1a35256e897f33b9748ab0b6d0033d.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\04aaed0c4ab04791dc4e497c377d373b.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\353910329d0410f90709321989f5da58.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\fabb8899d82671db2035759037c5c21d.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\93e87ef6c56dffc312be353e105d2794.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\e45711c2662171c15cd763238e7b579b.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\38ef4e4ee11476ccc691137589cfffb6.dll','');
 QuarantineFile('c:\windows\temp\pdk-system\ecefdc6daba859e2c7e17fc15ad129ff.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

__sa__nya 27-11-2010 15:31 1552749
Fedin, по AVZ все ваши рекомендации сделал, а по Malwarebytes' Anti-Malware нет, т.к.:

1) Она устанавливается в систему, а я не хочу ставить на сервер, на котором крутится несколько важных служб, лишнее ПО
2) Запустил полное сканирование этой прогой на тестовой машине, и она ругнулась на файл IIS iissync.exe, посчитав его вирусом, хотя это не вирус (Синхронизация IIS с командной строки, версия файла 6.0.2600.0, производитель Майкрософт).

zirreX 27-11-2010 15:57 1552770
Цитата:
Цитата __sa__nya
и она ругнулась на файл IIS iissync.exe, посчитав его вирусом, хотя это не вирус (Синхронизация IIS с командной строки, версия файла 6.0.2600.0, производитель Майкрософт). »
Верно, это ложное срабатывание.Не обращайте внимание.

__sa__nya 29-11-2010 08:30 1553903
Fedin, - в архиве, который я выложил, вирусов нет?

zirreX 29-11-2010 15:03 1554146
Цитата:
Цитата __sa__nya
в архиве, который я выложил, вирусов нет? »
У вас чистая система, ничего плохого не нашел.

__sa__nya 29-11-2010 19:07 1554396
Спасибо. Тему можно закрыть.


Время: 20:18.

Время: 20:18.
© OSzone.net 2001-