Witam.

Mam problem z wirusem WIN32/Sality.NAO na serwerze z WIN 2003.

Obsluguje 10 uzytkownikow na terminalach i system Symfonia Forte

Zaczelo sie to wczoraj, wysypał sie NOD32

Po przeinstalowaniu i restarcie servera zaczoł dzialac NOD 32, przeskanowalem caly system i znalazl kilkanascie plikow z w/w wirusem i je wyleczył

Skanowalem caly system jeszcze kilka razy i juz nic nie pokazalo na dysku.

Skanowanie systemu programikiem ktory niby go usuwa ( rmsality.exe ) tez nic nie znalazlo.

Modół AMON caluy czas znajduje jakies zainfekowane pliki i leczy je na bierzaco choc przy skanowaniu dysku nic nie znajduje.

Po restarcie systemu NOD32 juz nie dziala i trzeba go przeinstalowac i uruchomic na nowo system zeby dzialal.

Po restarcie systemu jesli uzytkowniicy nie sa polaczenie przez RDP to AMON nic nie wykrywa.

W tej chwili system dziala, aplikacje uruchamiaja sie prawidlowo ale AMON caly czas leczy jakies pkiki EXE

Nie mam ju zna to pomyslu a w sieci nie ma zbyt duzo na temat tego wirusa.

Dolaczam logi z

HijackThis v2.0.2

http://wklejto.pl/9133

Silent Runners

http://wklejto.pl/9134

Uruchomil bym jeszcze COMBOFIXa ale boje sie ze jak wylaczen NODa to zrobi sie wiekszy balagan.

Z góry dziekuje za pomoc i sugestie.

Pozdrawiam.

Marcin

fiz w hijackthis

Podaj log z Combofix

Już zrobione.

Combofix bede mogl odpalic dopiero po 15 jak wszyscy skoncza prace bo musza nadrobic polowe wczorajszego dnia.

Zeby go uruchomic trzeba wylaczyc NOD ?

Tak powinieneś go wyłaczyć

zaowazylem tez ze jeden z uzytkownikow ma 2 procesy notepad.exe

notatnika nie uruchamial

nie mozna ich zamknac, moze to byc cos z tym zwiazane

zaloze mu inne konto zeby sie na stare nie logowal

Combofix sie nie uruchamia

Wyswietka okienk oz bletem i info ze dziala pod 200 i XP

Moze jakim sinnym programem wygenerowac LOG ?

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

nie wiem czy zadziała ale spróbuj