-
Junior Member (OID)
- Вес репутации
- 42
Вирус Win32/Expiro.NAK. [Trojan.Win32.Vilsel.boxk
]
Windows Server 2003 R2 SP2. Где-то подхватился Win32/Expiro.NAK. Антивирус Касперского его не определяет (создал загрузочную флешку с kav_rescue_10, загрузился, обновил базы, все проверил, не нашел). Этот вирус нашел NOD32, но он предлагает только удалить зараженные файлы, а хотелось бы вылечить, т.к. куча exe-шников уже заражена. В базах НОДа он с 23.12.2012, в базах Каспера нашел Win32/Expiro.w, по описанию подходит, но .NAK не определяет.hijackthis.logvirusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Дмитрий Бондарчук, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Код:
G:\Arhiv\1.bat
C:\1CBases\1C2007\1c77sql\Friday.bat
C:\1CBases\1C2007\1c77sql\Monday.bat
C:\1CBases\1C2007\1c77sql\Thursday.bat
C:\1CBases\1C2007\1c77sql\Wednesday.bat
эти файлы вам знакомы ?
Сообщение от
Дмитрий Бондарчук
куча exe-шников уже заражена.
заархивируйте несколько заражённых файлов в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Сделайте лог Gmer
- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
- - - Добавлено - - -
+ отключите AVZPM и переделайте логи AVZ
-
-
Junior Member (OID)
- Вес репутации
- 42
Да, это бэкапы создаются.
Загрузил несколько файлов. При проверке НОД пишет, что файлы заражены Win32/Expiro.NAK.
- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
Результат загрузки
Файл сохранён как 130117_070801_virusinfo_autoquarantine_SERVER1C_50 f7a3515078b.zip
Размер файла 32661161
MD5 32c72b4b201f0ba5ca7f506de807a379
Файл закачан, спасибо!virusinfo_syscheck.zipgmer.log
-
Дмитрий Бондарчук, файлы ушли на анализ в лабораторию, скорей всего у вас файловой вирус, а также вы ещё заражены KIDO. Подождите немного пока придёт ответ по карантину. Пока давайте другого зловреда зачистим
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true);
QuarantineFile('E:\WINDOWS\TEMP\buuso.exe','');
DeleteFile('E:\WINDOWS\TEMP\buuso.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','S48178116');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','S48178116');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Последний раз редактировалось regist; 17.01.2013 в 12:53.
-
-
Junior Member (OID)
- Вес репутации
- 42
Или несколько раз нажал или не пойму, но при загрузке карантина мне выдало такое:
Результат загрузки
Ошибка загрузки. Данный файл уже был загруженvirusinfo_syscheck.ziphijackthis.log
-
Дмитрий Бондарчук, детект пока пока добавили только на один файл, ещё раз продублировал запрос на анализ файлов через личный кабинет.
-
-
Junior Member (OID)
- Вес репутации
- 42
Остается только ждать? Хорошо б возможность вылечить зараженные файлы, сносить все не хочется. Вообще подобные файловые вирусы лечаться?
-
Сообщение от
Дмитрий Бондарчук
Вообще подобные файловые вирусы лечаться?
да.
- - - Добавлено - - -
Дмитрий Бондарчук, попробуйте скачать свежий Live CD от доктора Веба и пролечиться с помощью него. После этого сделайте новые логи и отпишитесь, что с проблемой.
- - - Добавлено - - -
пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.
-
-
Junior Member (OID)
- Вес репутации
- 42
Да свежий Др.Веб теперь уже находит и лечит, Win32.Expiro.46 он его называет. Позже сделаю новые логи.
-
Junior Member (OID)
- Вес репутации
- 42
Др. Веб все полечил (некоторое пришлось удалить, но чуток), НОД теперь тоже ничего не находит, случайные процессы кучу оперативы сжирать не начинают, комп не тормозит. Спасибо!
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \\firefox.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
- \\nerostartsmart.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
- \\putty.exe - Trojan.Win32.Vilsel.boxk ( AVAST4: Win32:Expiro-BP )
- \\vstudio.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
-