Rustem507 0 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 Всем утро доброе 3 день борюсь с червями изначально сетку вынесло полностью и внешний канал 8 мегабит был загружен на 100% на половине машин стоял корпоративный антивирус который из функций антивируса выполняет только название сейчас такая беда все сетевые папки становятся скрытыми и создаются ярлыки с такими же именами ссылкой на вирус касперский их почему то не трогает но при полной проверке нашел такие вот вещи удалено: троянская программа Exploit.Win32.CVE-2010-2568.g Файл: \\server02\ce\ztO.lnk удалено: вирус Worm.Win32.VBNA.akzw Файл: \\Server02\IT\xxx.dll удалено: троянская программа Trojan.Win32.Jorik.Skor.b Файл: C:\Documents and Settings\Администратор\2.exe удалено: вирус Worm.Win32.AutoIt.tc Файл: C:\SharedFolders\Soft\pvfprg.exe//script.au3 удалено: троянская программа Trojan.Win32.VBKrypt.cpz Файл: C:\SharedFolders\Admin\ADM_Shared\CONO\~2 setup_np_tr_3_67_18_1.exe.CAB/wincmc.exe удалено: вирус Worm.Win32.AutoIt.tc Файл: C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\pvfprg_0.exe//script.au3 после прочистки системы все повторяется снова и снова плс у кого были такие проблемы подскажите как вы решили ее я сам уже в тупике 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Omnividente 280 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 ВЫполните Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 =( сканирую Сделал жду помощи с уважениемhijackthis.logvirusinfo_syscure.zipvirusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 474 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('P:\autorun.inf',''); QuarantineFile('M:\autorun.inf',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\wyjvquzu.dll',''); QuarantineFile('C:\WINNT\system32\tvzhb.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\vaeuk.exe',''); QuarantineFile('C:\WINNT\system32\DRIVERS\basic2.sys',''); QuarantineFile('C:\WINNT\system32\DRIVERS\acfva.sys',''); QuarantineFile('c:\documents and settings\Администратор\xuiey.exe',''); QuarantineFile('c:\documents and settings\Администратор\weuivu.exe',''); DeleteFile('c:\documents and settings\Администратор\weuivu.exe'); DeleteFile('c:\documents and settings\Администратор\xuiey.exe'); DeleteFile('C:\Documents and Settings\Администратор\vaeuk.exe'); DeleteFile('C:\WINNT\system32\tvzhb.dll'); DeleteFile('C:\WINNT\system32\wyjvquzu.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vaeuk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','weuivu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xuiey'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Trkauto\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mbtkz\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 Приступаю! У меня есть 2торой сервер те логи тоже нужны? Там ошибка за ошибкой сейчас с кан сделаю Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 У меня есть 2торой сервер те логи тоже нужны? Да, только в новую тему. Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 (изменено) virusinfo_syscheck.ziphijackthis.log virusinfo_syscure.zip сделано Да, только в новую тему. второй сканиться как закончиться сразу же выложу! сервер2 virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log Изменено 26 июля, 2010 пользователем Rustem507 Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 (изменено) virusinfo_syscheck.ziphijackthis.logvirusinfo_syscure.zip сделано второй сканиться как закончиться сразу же выложу! Не, второй лучше В НОВУЮ ТЕМУ Т.е. чтоб путаницы не было.... Изменено 26 июля, 2010 пользователем vit9696 Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 помогите хоть с одним у меня тут полный хаус =( Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 1-ый сервер. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\wyjvquzu.dll',''); QuarantineFile('C:\WINNT\system32\tvzhb.dll',''); QuarantineFile('C:\WINNT\System32\weuivu.exe',''); TerminateProcessByName('C:\WINNT\System32\weuivu.exe'); QuarantineFile('C:\WINNT\System32\xuiey.exe',''); TerminateProcessByName('C:\WINNT\System32\xuiey.exe'); DeleteFile('C:\WINNT\System32\xuiey.exe'); DeleteFile('C:\WINNT\System32\weuivu.exe'); DeleteFile('C:\WINNT\system32\tvzhb.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Trkauto\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\mbtkz\Parameters','ServiceDll'); DeleteFile('E:\autorun.inf'); DeleteFile('H:\autorun.inf'); DeleteFile('M:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через на newvirus@tut.by Сделайте новые логи. 2-ой сервер. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\winnt\system32\System.exe',''); TerminateProcessByName('c:\winnt\system32\System.exe'); DeleteFile('c:\winnt\system32\System.exe'); DeleteFile('M:\autorun.inf'); DeleteFile('P:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через на newvirus@tut.by Сделайте новые логи. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 dear Snfer67 я выслал Вам жду помощи новостей! Нужно снова логи делать? Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 Да нужно - делайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 ок запускаю логи 3 раз! но вот вторые сделал их даже не кто не скачал не разу =( Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 26 июля, 2010 Share Опубликовано 26 июля, 2010 ок запускаю логи 3 раз!но вот вторые сделал их даже не кто не скачал не разу =( Зависит от типа проблема, что-то можно увидеть по одним, что-то по другим . Ждем логов. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Rustem507 0 Опубликовано 26 июля, 2010 Автор Share Опубликовано 26 июля, 2010 Зависит от типа проблема, что-то можно увидеть по одним, что-то по другим . Ждем логов. сейчас будут сканиться! Сервер 2 virusinfo_syscure.zipvirusinfo_syscheck.zip первый еще не закончил сканирование hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.