[alexandru.covalschi@vk]

Вероятно я слегка сумбурно все описал.
Чтобы было понятно - на сервере сейчас два System Idle Process - настоящий и фейковый, но при попытке закрыть фейковый система все равно хочет уйти в шатдаун. То же самое и при попытке закрыть windeb.exe
Если проблема серьезная и так просто не разберешься, то могу конечно оплатить работу, но текущего бюджета у меня к сожалению хватит примерно лишь на 4 часа работы.

[Sandor]

Здравствуйте!

Цитата alexandru.covalschi@vk:

Сервер удаленный »

Логи нужны из консоли, а не из терминала. (Хотя бы через TeamViewer).

[alexandru.covalschi@vk]

Цитата Sandor:

Логи нужны из консоли, а не из терминала. (Хотя бы через TeamViewer). »

Прикрепляю

[alexandru.covalschi@vk]

Времени немного осталось :/ Если кто-то готов уделить время - пожалуйста отпишитесь, оплата через paypal

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 TerminateProcessByName('C:\Windows\System32\System Idle Process                                                                        .exe');
 TerminateProcessByName('C:\Windows\Temp\3582-490\csrss.exe');
 QuarantineFile('c:\users\administrator\windows\svchost.com', '');
 QuarantineFile('C:\Windows\System32\System Idle Process                                                                        .exe', '');
 QuarantineFile('C:\Windows\Temp\3582-490\csrss.exe', '');
 QuarantineFile('C:\zabbix\wu\winupdate.vbs', '');
 DeleteFile('c:\users\administrator\windows\svchost.com', '32');
 DeleteFile('C:\Windows\System32\System Idle Process                                                                        .exe', '32');
 DeleteFile('C:\Windows\Temp\3582-490\csrss.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
end.

Пожалуйста, перезагрузите компьютер вручную.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[alexandru.covalschi@vk]

Цитата Sandor:

TerminateProcessByName('C:\Windows\System32\System Idle Process .exe'); »

Вот на этом все и заканчивается Система уходит в даун, далее ничего не исполняется

[alexandru.covalschi@vk]

Может кто по доброте душевной тыкнет лицом в статью, где описано как безопасно настроить IIS? Или такого понятия нет вообще? Оградить свой веб-сервер фаерволом я увы полноценно не могу

[alexandru.covalschi@vk]

Важное уточнение - IPMI теперь есть

[alexandru.covalschi@vk]

Запустил сначала первоначальный (quarantine.zip 288117 байт), затем немного модифицированный скрипт (quarantine.zip 532987 байт) из safe mode

Код:

begin
 TerminateProcessByName('C:\Windows\System32\System Idle Process                                                                        .exe');
 TerminateProcessByName('C:\Windows\Temp\3582-490\csrss.exe');
 QuarantineFile('c:\users\administrator\windows\svchost.com', '');
 QuarantineFile('C:\Windows\System32\System Idle Process                                                                        .exe', '');
 QuarantineFile('C:\Windows\Temp\3582-490\csrss.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\windeb.exe', '');
 QuarantineFile('C:\zabbix\wu\winupdate.vbs', '');
 DeleteFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\windeb.exe', '');
 DeleteFile('c:\users\administrator\windows\svchost.com', '32');
 DeleteFile('C:\Windows\System32\System Idle Process                                                                        .exe', '32');
 DeleteFile('C:\Windows\Temp\3582-490\csrss.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
end.

Выложил оба варианта на форму. Выкладываю логи. Процесс все еще там.