Вирусная атака

[Ablis]

Всем доброго времени суток.

Суть моей проблемы в том, что я пришел работать сисадмином в больницу

На компах стоял Антивирус Касперского 6.0 для Windows Workstations версии 6.0.3.xxx с ручным обновлением баз. Я поставил последнюю версию KAV для Windows Workstations, обновил базы, установил AdminKit. На флешке на одном из подотчетных компьютерах сразу было обнаружено следующее зверьё:

F:\Zivot\ucio.exe Trojan.Win32.Pincav.aivv

F:\autorun.inf Trojan.Win32.AutoRun.axq

Все было вылечено, но проблема в том, что при каждом подключении флешки к этому компьютеру на ней создаются скрытые файлы:

autorun.inf, fulpoi.exe, и иногда появляется, а иногда нет пустая папка Zivot.

Антивирус молчит.

А сегодня с утра на этом же компе поперли сообщения об обнаруженном и удаленном вирусе, следующего содержания:

C:\Temp\sdn?.tmp Backdoor.Win32.Protector.oz

На настоящий момент их количество уже перевалило за 180 штук.

Помогите долечить систему на этом компе, и посоветуйте, что можно сделать с другими в плане появления этих странных файлов на флешке.

Логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка с парсера GSI:

http://www.getsysteminfo.com/read.php?file...aab9378eb4545f6

[Roman_Five]

Ablis,

добро пожаловать на форум!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\fusservices.exe');
TerminateProcessByName('c:\windows\system32\gvtfd.exe');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
SetServiceStart('gdrv', 4);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Владелец\pj6vi7wlh9.exe','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('c:\windows\system32\gvtfd.exe','');
QuarantineFile('c:\windows\system32\fusservices.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe',' ');
QuarantineFile('C:\Temp\*.tmp ',' ');
DeleteFileMask('C:\Temp\ ','*.tmp ',true ,' '); 
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\windows\system32\gvtfd.exe');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\Documents and Settings\Владелец\pj6vi7wlh9.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pj6vi7wlh9');
DeleteService('gdrv');
DelAutorunByFileName('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [pj6vi7wlh9] C:\Documents and Settings\Владелец\pj6vi7wlh9.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

 

что можно сделать с другими в плане появления этих странных файлов на флешке.

 

пролечить все рабочие станции антивирусным сканером (Kaspersky Virus Removal Tool или DrWeb CureIt!), отключить автозапуск со сменных носителей и сделать на каждой машине логи для проверки.