второй вариант более интересен конечно

Mikhail6667, так не пойдет. Проделывал давненько - CureIt, как и остальные продукты, постоянно фиксится и улучшается, возможно с того момента этот баг был починен, а может это был какой-то странный эффект/конфликт. Это ручные ковыряния сейчас будут долгие. Давайте так, сделайте бекап/резервную копию на сервере, скачайте актуальный CureIt и пролечитесь. Если система сломается - восстановитесь с копии, а мы будем воспроизводить у себя и чинить, чтобы польза была всем. Я понимаю, что это сервер, но надо выяснить что происходит.

 

Ну или второй вариант, на верочку - склонировать системный раздел сервера в виртуалку со снепшотами и проделать процесс лечения там, чтобы не ставить эксперименты на рабочей машине. Если этот вариант интересен, дам подробные инструкции.

обновление поставил, его не было вы правы

>Детектим - это удаляем?

 

Да.

 

>Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Ожидаемо. Просто конкретно этого файла не было ни у нас, ни на просторах интернета, поэтому без вашей помощи проверить точно ли мы его детектим было не возможно.

 

Как сказал, RomaNNN, качайте свежий cureit и лечите систему. Кроме того, что-то мне подсказывает, что у вас не установлено обновление безопасности ОС MS17-010.

если буду лечить винда больше не загрузится (проделывал так давненько)...8(

удалось без потери винды убрать частично (далее боюсь, т.к. работаю на удаленке), вот что осталось:

https://1drv.ms/u/s!AgIW1D3ZZfTkjiDHZDoJxJgDPtfm

>Детектим - это удаляем?

 

Да.

 

>Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

 

Ожидаемо. Просто конкретно этого файла не было ни у нас, ни на просторах интернета, поэтому без вашей помощи проверить точно ли мы его детектим было не возможно.

 

Как сказал, RomaNNN, качайте свежий cureit и лечите систему. Кроме того, что-то мне подсказывает, что у вас не установлено обновление безопасности ОС MS17-010.

>C:\Windows\pizpok.exe

 

Этот детектим.

 

>C:\Windows\lpk.dll

 

Этот высылайте в вирлаб (vms.drweb.com/sendvirus/)

Добрый день,


Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: Trojan.DnsAmp.3


Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com

-- 
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Категория: SUSPICIOUS FILE
-------------------Запрос--------------------------------------

Hello,

User sent us a suspicious file.
User ip: 77.239.243.39
User agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
User comment: Добрый день!
Посоветовали на форуме отправить данный файл на проверку
User language: ru
User email: smagea@gmail.com
Original file name: lpk.rar
File size: 18463
File time: 2019-06-27 20:54:21
File mime type: application/x-rar
MD5: a6957c14e0209de3e2f7b4a11bb1f7b0
SHA1: f8f401ecb18f49038c1c18a5bc0dc402e857461b

>C:\Windows\pizpok.exe

 

Этот детектим.

 

>C:\Windows\lpk.dll

 

Этот высылайте в вирлаб (vms.drweb.com/sendvirus/)

Детектим - это удаляем?

 

Перво-наперво - у Вас в системном каталоге живет Radmin. Если не Вы его устанавливали, то надо снести, ибо сервером может кто-то управлять

<file path="C:\Windows\SysWOW64\rserver30\wsock32.dll" size="30720" links="1" ctime="13.01.2010 21:54:24.000" atime="19.07.2016 00:59:56.597" wtime="13.01.2010 21:54:24.000" buildtime="20.06.1992 01:22:17.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:(A;;0x1200a9;;;WD)(A;;FA;;;BA)(A;;FA;;;SY)" />
		<hash sha1="968da067c976004de73087e641217c204b20ab3f" sha256="d7d35019ce0c03d97c32ab25a145371806ca2d1572af1e5146ea886d41818850" />
		<arkstatus file="ts_white_list, unsigned, pe32, dll" cert="unsigned" cloud="clean" type="unknown" />
		<verinfo company="Famatech Fan Club" descr="Famatech Radmin Server Expansion" origname="" version="2.3.0.0" product_name="NTS" product_version="2.3.0.0" file_version_ls="0" file_version_ms="131075" product_version_ls="0" product_version_ms="131075" />
	</file>

То же самое с RDP Wrapper-ом. Уже не первый раз вижу его на замалваренной машине
 

<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="06.08.2016 22:29:09.145" atime="06.08.2016 22:29:09.145" wtime="06.08.2016 22:29:09.145" buildtime="10.12.2014 23:17:30.000">
		<attrib archive="true" value="20" security="O:BAG:S-1-5-21-2369663591-961208738-1451916285-513D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)" />
		<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
		<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
		<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
	</file>

Radmin ставил и пользую сам...

RDP Wrapper - незнаю что это, но RDP винды используют пользователи сервера

Архив программы dwsysinfo не прикрепляет (53мб), ссылка:

https://drive.google.com/open?id=1BGcb8hPXgAPVGAuZiNcpd7rmaAwTv-d0

Добрый вечер! Прошу помощи как победить пачку вредоносного ПО. А именно:

Trojan.downloader25.18347

Trojan.downloader23.53793

Trojan.downloader24.54933

Trojan.downloader25.43296

Trojan.downloader25.31643

Trojan.downloader19.29528

Backdoor.PCClient.6595

MULDROP.trojan

Trojan.DnsAmp.3

 

Очень сильно тормозит сервак(

Как то пытался лечить CureIT, после этого приходилось восстанавливать систему.

Архив программы dwsysinfo не прикрепляет (53мб)

Добрый вечер! Прошу помощи как победить пачку вредоносного ПО. А именно:

Trojan.downloader25.18347

Trojan.downloader23.53793

Trojan.downloader24.54933

Trojan.downloader25.43296

Trojan.downloader25.31643

Trojan.downloader19.29528

Backdoor.PCClient.6595

MULDROP.trojan

Trojan.DnsAmp.3

Очень сильно тормозит сервак(

Как то пытался лечить CureIT, после этого приходилось восстанавливать систему.

Архив программы dwsysinfo не прикрепляет (53мб)