Вирус worm.VBS.agent файл .VBS

[Zamir]

Всем добрый день уже не какие антивирусы не помагают вылечиться от вирсу распознаваемым касперским как worm.vbs.agent, зараженный фал под названием .vbs и autorun.inf появляются бесконечно, даже если удалить. Установлен анитивирус kavfileserver 6.0.3.837 на ОС win2003server.Enter.Edition непонятным образом заражаются все сетевые папки вирусами worm.vbs.agent. буду презнателен если поможете спасибо.

Изменено 11 марта, 2009 пользователем Zamir

[thyrex]

Всем добрый день уже не какие антивирусы не помагают вылечиться от вирсу распознаваемым касперским как worm.vbs.agent, зараженный фал под названием .vbs и autorun.inf появляются бесконечно, даже если удалить. Установлен анитивирус kavfileserver 6.0.3.837 на ОС win2003server.Enter.Edition непонятным образом заражаются все сетевые папки вирусами worm.vbs.agent. буду презнателен если поможете спасибо.

Выполните, пожалуйста, правила оказания помощи

[Zamir]

Вообщем я сделал все как по инструкций и прилогаю логи. Жду помощи. спасибо плюс прилагаю скриншоты

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 12 марта, 2009 пользователем Zamir

[akoK]

Ну, помолимся за здравие сервера (наверное)

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

 

 

Обновите базы AVZ и повторите логи.

[Zamir]

Вообщем я сделал что надо (пофиксил указанные строчки), удалось поймать эти завирусованные файлы поймать и даже открыть, в нутри содерюиться такой скрипт

UT 9

[autorun]

open=wscript.exe .\.vbs

shell\open\command=wscript.exe .\.vbs

shell\open\default=1

 

это внутри файла autorun.inf

 

дальше поймал еще один файл .vbs

но его открыть не получилось

 

эти два файла появляются и исчезают все время

Антивирус Касперский вроде пишет что удален, но и пишет что не найден.

 

пока скриншот

логи будут потом

 

высылаю логи AVZ

Точечный_рисунок__2_.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 13 марта, 2009 пользователем Zamir

[Alexey_I]

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#6)

Неужели наконец-то AVZ начал нормально работать в терминальных сессиях ) Но все равно логи лучше делать с консоли.

В логах не видно ничего плохого, хотя нового лога hijack нет.

Отключите автозапуск

[Zamir]

Автозапуск я не могу отключить потому что, есть программы которые должны работать автоматически, на счет логов понятно а как же быть с теми файлами и скриптами внутри них. Неужели они тоже не являются вирусами?

 

UT 9

[autorun]

open=wscript.exe .\.vbs

shell\open\command=wscript.exe .\.vbs

shell\open\default=1

 

эти файлы появляются тока в сетевых папках причем толька тоогда когда их подключаешь

и изменяют свойства открытия сетевой папки таким образм, что как будто нету доступа и пишет какието казяврики при открытий сетевой папки на счет файла .vbs в окне сообщений.

 

Уже все везде перерыл, ставил различного рода другие антивирусы, прочитал все форумы не помогло и Касперский антивирус почему то не может словить его с корнями. Хотя находит и пишет удалено но он появляются снова и снова.

Изменено 13 марта, 2009 пользователем Zamir

[thyrex]

Автозапуск я не могу отключить потому что, есть программы которые должны работать автоматически, на счет логов понятно а как же быть с теми файлами и скриптами внутри них. Неужели они тоже не являются вирусами?

Вы отключаете автозапуск вредоносных программ наподобие тех, которые прописаны в приведенном вами файле autorun.inf . Файлы autorun.inf могут находиться на съемных дисках (флэшки), логических дисках, сетевых дисках. Если такой файл есть на каком-либо устройстве при обращении к этому устройству он автоматически выполняется. Вот вам и предложили эту возможность отключить. Поэтому выполняйте, плохого Вам никто не посоветовал. И повторите логи, как Вас просили

[Zamir]

Вы отключаете автозапуск вредоносных программ наподобие тех, которые прописаны в приведенном вами файле autorun.inf . Файлы autorun.inf могут находиться на съемных дисках (флэшки), логических дисках, сетевых дисках. Если такой файл есть на каком-либо устройстве при обращении к этому устройству он автоматически выполняется. Вот вам и предложили эту возможность отключить. Поэтому выполняйте, плохого Вам никто не посоветовал. И повторите логи, как Вас просили

вообщем вреестре нашел такой запись HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List

 

в строковом параметре file1 R:\CLUSTER_FILE_SERVER\Install\.vbs

а папка install расшаринная папка

что это может озночать?

[Zamir]

помоему, вы тока и умеете что логи спрашивать, напрасно наверное купили антивирус касперский, не может справиться какимито vbs скриптами

я больше логи высылать не буду, все равно картина одна и та же.

[MedvedevUnited]

Здравствуйте.

 

Возможную причину постоянного появления таких файлов Вам назвали:

Файлы autorun.inf могут находиться на съемных дисках (флэшки), логических дисках, сетевых дисках. Если такой файл есть на каком-либо устройстве при обращении к этому устройству он автоматически выполняется.

 

Можете привести отчет антивируса об удалении файла?