Ablis Опубликовано 14 июля, 2011 Опубликовано 14 июля, 2011 Всем доброго времени суток. Суть моей проблемы в том, что я пришел работать сисадмином в больницу На компах стоял Антивирус Касперского 6.0 для Windows Workstations версии 6.0.3.xxx с ручным обновлением баз. Я поставил последнюю версию KAV для Windows Workstations, обновил базы, установил AdminKit. На флешке на одном из подотчетных компьютерах сразу было обнаружено следующее зверьё: F:\Zivot\ucio.exe Trojan.Win32.Pincav.aivv F:\autorun.inf Trojan.Win32.AutoRun.axq Все было вылечено, но проблема в том, что при каждом подключении флешки к этому компьютеру на ней создаются скрытые файлы: autorun.inf, fulpoi.exe, и иногда появляется, а иногда нет пустая папка Zivot. Антивирус молчит. А сегодня с утра на этом же компе поперли сообщения об обнаруженном и удаленном вирусе, следующего содержания: C:\Temp\sdn?.tmp Backdoor.Win32.Protector.oz На настоящий момент их количество уже перевалило за 180 штук. Помогите долечить систему на этом компе, и посоветуйте, что можно сделать с другими в плане появления этих странных файлов на флешке. Логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка с парсера GSI: http://www.getsysteminfo.com/read.php?file...aab9378eb4545f6
Roman_Five Опубликовано 14 июля, 2011 Опубликовано 14 июля, 2011 Ablis, добро пожаловать на форум! Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\fusservices.exe'); TerminateProcessByName('c:\windows\system32\gvtfd.exe'); TerminateProcessByName('c:\windows\system32\csrcs.exe'); SetServiceStart('gdrv', 4); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\Владелец\pj6vi7wlh9.exe',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); QuarantineFile('c:\windows\system32\gvtfd.exe',''); QuarantineFile('c:\windows\system32\fusservices.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',' '); QuarantineFile('C:\Temp\*.tmp ',' '); DeleteFileMask('C:\Temp\ ','*.tmp ',true ,' '); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('c:\windows\system32\gvtfd.exe'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\Documents and Settings\Владелец\pj6vi7wlh9.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('F:\autorun.inf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pj6vi7wlh9'); DeleteService('gdrv'); DelAutorunByFileName('C:\WINDOWS\system32\csrcs.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKCU\..\Run: [pj6vi7wlh9] C:\Documents and Settings\Владелец\pj6vi7wlh9.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. что можно сделать с другими в плане появления этих странных файлов на флешке. пролечить все рабочие станции антивирусным сканером (Kaspersky Virus Removal Tool или DrWeb CureIt!), отключить автозапуск со сменных носителей и сделать на каждой машине логи для проверки.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти