Pskovadmin Опубликовано 19 мая, 2009 Опубликовано 19 мая, 2009 Падает производительность работы сети. В автозагрузке появился dllcache.exe, появляется вирус Worm.Win32.AutoRun.ezt hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 19 мая, 2009 Опубликовано 19 мая, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('sysdrv32'); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('C:\WINDOWS\system\dllcache.exe',''); QuarantineFile('C:\Program Files\X-Setup Pro\bin\dcXSPApplet.cpl',''); DeleteFile('C:\WINDOWS\system\dllcache.exe'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); BC_ImportAll; BC_DeleteSvc('sysdrv32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте этот архив по электронной почте на адрес newvirus@kaspersky.com, указав в письме пароль на архив - virus. О результате сообщите. Это ваше? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pskv.gks.ru O17 - HKLM\Software\..\Telephony: DomainName = pskv.gks.ru O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB7F77C-4117-4651-A561-8062EC21385F}: NameServer = 10.160.20.5,10.160.20.7 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pskv.gks.ru O17 - HKLM\System\CS1\Services\Tcpip\..\{4CB7F77C-4117-4651-A561-8062EC21385F}: NameServer = 10.160.20.5,10.160.20.7 Обновите базы AVZ и сделайте новый комплект логов.
Pskovadmin Опубликовано 19 мая, 2009 Автор Опубликовано 19 мая, 2009 Скрипт на выполнений Сообщение от модератора User Убрал лишние цитирование
Falcon Опубликовано 19 мая, 2009 Опубликовано 19 мая, 2009 Пожалуйста, используйте выборочное цитирование. Ждем новые логи.
Pskovadmin Опубликовано 19 мая, 2009 Автор Опубликовано 19 мая, 2009 Выполнили скрипты в AVZ. Вирус Worm.win32.Autorun.ezt в System32\drivers\sysdrv32.sys. Сообщение от модератора Falcon Убрал карантин.
Falcon Опубликовано 19 мая, 2009 Опубликовано 19 мая, 2009 Этот архив, что вы прикрепили, нужно отослать на newvirus@kaspersky.com Просто выполните правила оформления запроса заново. Нужны новые логи AVZ(syscheck & syscure) и HijackThis.
Pskovadmin Опубликовано 21 мая, 2009 Автор Опубликовано 21 мая, 2009 Пожалуйста, используйте выборочное цитирование. Ждем новые логи. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 Внимание ! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обновите базы и сделайте новые логи.
Pskovadmin Опубликовано 22 мая, 2009 Автор Опубликовано 22 мая, 2009 Обновите базы и сделайте новые логи. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 22 мая, 2009 Опубликовано 22 мая, 2009 Выполните: begin SetAVZPMStatus(true); RebootWindows(true); end. ПК перезагрузится. Это мы установили AVZ Process Manager. В выложенных вами логах ничего явного не видать. После выполнения скрипта сделайте новые контрольные логи. Также проверьте файл D:\Fxdrv.sys на Virustotal.com Ссылку с результатом анализы запостите здесь.
Pskovadmin Опубликовано 25 мая, 2009 Автор Опубликовано 25 мая, 2009 Удалили следующие файлы и всё, что сними связано из реестра: 1. \WINDOWS\system32\25.scr \WINDOWS\system32\38.scr \WINDOWS\system32\40.scr \WINDOWS\system32\46.scr и т.д., которые быстро размножались 2. \WINDOWS\system\dllcache.exe Пока всё работает, вирусы не появляются. Спасибо за помощь!
Falcon Опубликовано 25 мая, 2009 Опубликовано 25 мая, 2009 Да вроде не за что, всегда рады, обращайтесь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти