Звонит мне клиент и говорит что не может на сервере работать так-как всё жёстко тормозит.
Подключаюсь я вообщем к нему, захожу в диспетчер задач и наблюдаю картину:
Процесс Svshost.exe загружает проц на 80-90%, перехожу в каталог где лежит сие чудо (папка кстати называется 4nationcal). Убиваю процесс, в каталоге 4nationcal удаляю файл и на место одного процесс вылазит 2-3. что делать как быть я хз. Сканировал Касперским, Нодом, Авестом, всё в пустую находит вирус, удаляет но после пары перезагрузок всё возвращается.
Самое страшное что всё кто подключаются по RDP, зависают при входе и дальше темнота, ещё в придачу перестали работать сетевые каталоги и принтеры. Ещё в
Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом\Дополнительные параметры общего доступа не возможно включить сетевое обнаружение.
Вирусу как я понял не нужны права админа т.к. на сервере 1 админ и заходил я под ним примерно пол года назад, до момента тревожного звонка да и нашёл я его в папке загрузок у юзера.
Искал я в интернетах и никто не сталкивался с таким. 2 дня медитации дали свои плоды и я всё же победил его.
1. Удаляем службу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\4nationcal\
2. Вирус вырубает службы, так что включаем обратно и ставим автовлючение
-DNS-клиент (DNS Client);
-Обнаружение SSDP (SSDP Discovery);
-Публикация ресурсов обнаружения функции (Function Discovery Resource Publication);
-Узел универсальных PNP-устройств (UPnP Device Host).
3.Выключаем службу Агент политики IpSec и на конец появляется сетевой доступ.
Никогда с таким не сталкивался и нигде не нашел как удалить, так что может кому пригодится.
P.S. Мой первый пост, не судите строго
