Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

В РЕАЛЬНОМ ВРЕМЕНИ 2 =(

Rustem507

Автор Rustem507
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Rustem507 Постоялец

Rustem507

Опубликовано
Опубликовано

Всем утро доброе

3 день борюсь с червями

изначально сетку вынесло полностью и внешний канал 8 мегабит был загружен на 100%

на половине машин стоял корпоративный антивирус который из функций антивируса выполняет только название

 

сейчас такая беда все сетевые папки становятся скрытыми

и создаются ярлыки с такими же именами ссылкой на вирус

 

касперский их почему то не трогает но при полной проверке нашел такие вот вещи

 

 

удалено: троянская программа Exploit.Win32.CVE-2010-2568.g Файл: \\server02\ce\ztO.lnk

удалено: вирус Worm.Win32.VBNA.akzw Файл: \\Server02\IT\xxx.dll

удалено: троянская программа Trojan.Win32.Jorik.Skor.b Файл: C:\Documents and Settings\Администратор\2.exe

удалено: вирус Worm.Win32.AutoIt.tc Файл: C:\SharedFolders\Soft\pvfprg.exe//script.au3

удалено: троянская программа Trojan.Win32.VBKrypt.cpz Файл: C:\SharedFolders\Admin\ADM_Shared\CONO\~2 setup_np_tr_3_67_18_1.exe.CAB/wincmc.exe

удалено: вирус Worm.Win32.AutoIt.tc Файл: C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\pvfprg_0.exe//script.au3

 

 

после прочистки системы все повторяется снова и снова

 

плс у кого были такие проблемы подскажите как вы решили ее

 

я сам уже в тупике

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 40
  • Создана
  • Последний ответ

Топ авторов темы

  • Rustem507

    19

  • snifer67

    9

  • vit9696

    6

  • thyrex

    3

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Rustem507
Rustem507

Всем утро доброе 3 день борюсь с червями изначально сетку вынесло полностью и внешний канал 8 мегабит был загружен на 100% на половине машин стоял корпоративный антивирус который из функций антив

snifer67
snifer67

1-ый сервер.   Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\wyjvquzu.dll',''); Quarantin

vit9696
vit9696

Зависит от типа проблема, что-то можно увидеть по одним, что-то по другим . Ждем логов.

Изображения в теме

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('P:\autorun.inf','');
QuarantineFile('M:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\wyjvquzu.dll','');
QuarantineFile('C:\WINNT\system32\tvzhb.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\vaeuk.exe','');
QuarantineFile('C:\WINNT\system32\DRIVERS\basic2.sys','');
QuarantineFile('C:\WINNT\system32\DRIVERS\acfva.sys','');
QuarantineFile('c:\documents and settings\Администратор\xuiey.exe','');
QuarantineFile('c:\documents and settings\Администратор\weuivu.exe','');
DeleteFile('c:\documents and settings\Администратор\weuivu.exe');
DeleteFile('c:\documents and settings\Администратор\xuiey.exe');
DeleteFile('C:\Documents and Settings\Администратор\vaeuk.exe');
DeleteFile('C:\WINNT\system32\tvzhb.dll');
DeleteFile('C:\WINNT\system32\wyjvquzu.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vaeuk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','weuivu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xuiey');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Trkauto\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mbtkz\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Rustem507 Постоялец

Rustem507

Опубликовано
  • Автор
Опубликовано (изменено)

virusinfo_syscheck.ziphijackthis.log

virusinfo_syscure.zip

сделано

 

Да, только в новую тему.

второй сканиться как закончиться сразу же выложу!

 

сервер2

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

Изменено пользователем Rustem507
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано (изменено)
virusinfo_syscheck.ziphijackthis.log

virusinfo_syscure.zip

сделано

 

 

второй сканиться как закончиться сразу же выложу!

 

Не, второй лучше В НОВУЮ ТЕМУ :huh: Т.е. чтоб путаницы не было....

Изменено пользователем vit9696
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

1-ый сервер.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\wyjvquzu.dll','');
QuarantineFile('C:\WINNT\system32\tvzhb.dll','');
QuarantineFile('C:\WINNT\System32\weuivu.exe','');
TerminateProcessByName('C:\WINNT\System32\weuivu.exe');
QuarantineFile('C:\WINNT\System32\xuiey.exe','');
TerminateProcessByName('C:\WINNT\System32\xuiey.exe');
DeleteFile('C:\WINNT\System32\xuiey.exe');
DeleteFile('C:\WINNT\System32\weuivu.exe');
DeleteFile('C:\WINNT\system32\tvzhb.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Trkauto\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mbtkz\Parameters','ServiceDll');
DeleteFile('E:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('M:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через на newvirus@tut.by

Сделайте новые логи.

 

2-ой сервер.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\System.exe','');
TerminateProcessByName('c:\winnt\system32\System.exe');
DeleteFile('c:\winnt\system32\System.exe');
DeleteFile('M:\autorun.inf');
DeleteFile('P:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через на newvirus@tut.by

Сделайте новые логи.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
ок запускаю логи 3 раз!

но вот вторые сделал их даже не кто не скачал не разу =(

Зависит от типа проблема, что-то можно увидеть по одним, что-то по другим :huh:. Ждем логов.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Rustem507 Постоялец

Rustem507

Опубликовано
  • Автор
Опубликовано
Зависит от типа проблема, что-то можно увидеть по одним, что-то по другим :huh:. Ждем логов.

сейчас будут сканиться!

 

Сервер 2

virusinfo_syscure.zipvirusinfo_syscheck.zip

 

первый еще не закончил сканирование

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...