Восстановление работы ОС В

mjStorm, сделай еще раз отчет, только выбери в выпадающем меню "Все службы и драйверы" и убери галку "исключить из протокола файлы, опознанные, как безопасные".
Только вернулись. Елку покупали и подарки дочке. Крестникам в Штатах заказал, а дочке отложил на последний день.
Днем по городу не проехать, в магазин перед праздником не попасть. С окружной на Петровку 15 мин, днем 2-3 часа!

mjStorm,
1. скачай и установи антивирус http://eset.ua/download/trial
2. сделай еще раз отчет, только выбери в выпадающем меню "Все службы и драйверы" и убери галку "исключить из протокола файлы, опознанные, как безопасные".
Жду.

Сделал снова.

Дальше внимательно, не спеша, по пунктам. Если что не ясно,- спрашивай.
1. в авз файл-"мастер поиска и устр......" "Системные проблемы" кн. Пуск. Отмечаешь все, что вылезет, нажимаешь "исправить отмеч...."
Затем переключаешь с "системные проблемы" на "чистка системы" Пуск. Отмечаешь все, что вылезет, нажимаешь "исправить отмеч...." После выполнения, кнопка Закрыть.
2. Не закрывая авз, сразу же после выполнения первого пункта меню Файл - Выполнить скрипт.
В открывшееся окно вставляешь вот это:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('PDRFRAME.sys','');
SetServiceStart('PDRFRAME', 4);
DeleteService('PDRFRAME');
StopService('PDRFRAME');
QuarantineFile('PDRELI.sys','');
SetServiceStart('PDRELI', 4);
DeleteService('PDRELI');
StopService('PDRELI');
QuarantineFile('PDFRAME.sys','');
SetServiceStart('PDFRAME', 4);
DeleteService('PDFRAME');
StopService('PDFRAME');
QuarantineFile('PDCOMP.sys','');
SetServiceStart('PDCOMP', 4);
DeleteService('PDCOMP');
StopService('PDCOMP');
SetServiceStart('ASFWHide', 4);
StopService('ASFWHide');
BC_DeleteSvc('PDCOMP');
DeleteFile('PDCOMP.sys');
BC_DeleteFile('PDCOMP.sys');
BC_DeleteSvc('PDFRAME');
DeleteFile('PDFRAME.sys');
BC_DeleteFile('PDFRAME.sys');
BC_DeleteSvc('PDRELI');
DeleteFile('PDRELI.sys');
BC_DeleteFile('PDRELI.sys');
BC_DeleteSvc('PDRFRAME');
DeleteFile('PDRFRAME.sys');
BC_DeleteFile('PDRFRAME.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится. После перезагрузки

скачай и установи антивирус http://eset.ua/download/trialSpankyHam, 31 Дек. 10, 11:03

30 дней он будет обновлятся сам. Потом придумаем. Если у тебя сетка с расшаренными ресурсами и сетевыми принтерами, после установки антивируса фаервол закроет доступ и запросит режим работы. Выберешь, соответственно, без сетевого доступа или с таковым. На интернет и прочие сетевые задачи это не повлияет.
Успехов. Не болей. С наступающим.

По первому пункту всё сделал, босс. Спасибо за внимание.
Прошло без затей. По второму пункту пока обожду ,
после Н.Г.буду думать над ОС. Надо хоть что-то менять в жизни.
Типа, 15 лет под Биллом Г. Может ,сменю партнера......

боссmjStorm, 31 Дек. 10, 14:08

Шутка юмора, понимаю.

По второму пункту пока обождуmjStorm, 31 Дек. 10, 14:08

Очччень зря! Делов на минуту, все легально. Там файервол, хоть от атак прикроешься.

буду думать над ОС.mjStorm, 31 Дек. 10, 14:08

Посмотри в сторону, либо Linux Ubuntu, либо PC-BSD. Первый - довольно гладенько сделанный, все становится без шума и пыли, вторая - пользовательская версия Фри. Но там с настройками придется полюбиться. Все на родных языках.

15 лет под Биллом ГmjStorm, 31 Дек. 10, 14:08

Типа платил ему Д!

Какие деньги, брат?! Только любовь, чистая, платоническая....

Пристально смотрю на Ебу-нту, сдерживают только возможности
видеоредактора под нее. Машина-то 4 пень....

Из очевидного ничего. Сделай еще раз отчет, только выбери в выпадающем меню "Все службы и драйверы" и убери галку "исключить из протокола файлы, опознанные, как безопасные".

Логи смотрел за те дни?

Еще раз отчет.
Логи смотреть нет смысла не долго виндовсовскому серверу осталось.
Я уже научился устанавливать ФриБСД, только не научился им пользоваться 

В личку комменты отправил.
Увы, Андрей, будем лечится.
Не веришь, погугли D:\NTACCESS.sys или GMSIPCI.SYS
1. Не перегружай сервер. Дождись ночи, чтоб меньше народу было. Сделай бэкапы.
2. Запусти авз. Выполни чистку системы (все пункты) ч-з мастер поиска и устр.пр.
3. Сразу скрипт:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\NTGLM7X.sys','');
SetServiceStart('SetupNTGLM7X', 4);
DeleteService('SetupNTGLM7X');
StopService('SetupNTGLM7X');
QuarantineFile('D:\NTACCESS.sys','');
SetServiceStart('NTACCESS', 4);
DeleteService('NTACCESS');
StopService('NTACCESS');
QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
SetServiceStart('GMSIPCI', 4);
DeleteService('GMSIPCI');
StopService('GMSIPCI');
BC_DeleteSvc('GMSIPCI');
DeleteFile('D:\INSTALL\GMSIPCI.SYS');
BC_DeleteFile('D:\INSTALL\GMSIPCI.SYS');
BC_DeleteSvc('NTACCESS');
DeleteFile('D:\NTACCESS.sys');
BC_DeleteFile('D:\NTACCESS.sys');
BC_DeleteSvc('SetupNTGLM7X');
DeleteFile('D:\NTGLM7X.sys');
BC_DeleteFile('D:\NTGLM7X.sys');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки снова ПОЛНЫЙ отчет.

Не пытайся удалять что-либо вручную.

Логи смотретьАндрей, 04 Янв. 11, 17:12

НАИПЕРВЕЙШЕЕ ДЕЛО! Все в логах.

как такое заражение возможно 

ВИНДА

Судя по пропаданию, прокатал скрипт. Жду отчет.

нет еще, видимо что-то с интернетом было.

Выполнил скрипт, потерял удаленный доступ к серваку
Будем надеяться исцелился от заразы

Андрей, дай отчет.
В мастере поиска и устранения проблем делал ТОЛЬКО чистку системы или еще и системные проблемы исправлял? Если системные тоже, смотри закладку отмена изменений там же.
1. Проверь службу удаленного рабочего стола. Запускается или нет.
2. netstat -ano
в списке должно быть
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1296
Можешь ли достучаться извне к порту 3389 сервера?
3. Проверь сервер лицезирования удаленки.
4. политика локального компьютера - конфигурация компьютера - параметры безопасности - локальные политики - назначение прав пользователя - разрешить вход в систему через службу удаленных рабочих столов
5. сертификат в Remote Desktop, может быть помечен как "нет доверия". добавить в список доверительных сертификатов


Р.Н. бери здесь

Роман Николаевич, кряка офиса c:\windows\kmservice.exe сидит и слушает порт 1688.
Привет тому, кто ставил тебе офис.
Отчет, все таки, сделан не правильно. Или прицепил не то. Сделай еще раз, внимательно, выбери "все службы и драйверы" и убери птичку "исключить опознанные как безопастн.."

А так...

Кроме вышеозвученного, больше ничего.
Если вырвать, может слететь офис.
Хочешь вырвать, делай следующее:
1. МПиУП (мастер поиска и устр пр) Чистка системы.
2. Выполнить скрипт

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\kmservice.exe');
QuarantineFile('c:\windows\kmservice.exe','');
DeleteFile('c:\windows\kmservice.exe');
BC_DeleteFile('c:\windows\kmservice.exe');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.