Junior Member
Вес репутации
56
Worm.Win32.AutoRun.dkk
Каспер находит и лечит но постоянно всплывает вирус Worm.Win32.AutoRun.dkk Файл: S:\Home Video.avi.exe//UPX//script.au3
и вирус Worm.Win32.AutoRun.dkk Файл: O:\CSRSS.exe//UPX//script.au3
Кроме того на сервере при запуске IE выходит на адрес http://amkbpk.110mb.com/
AVZ показывает что нарушена ассоциация СОМ и ВАТ файлов исправляет но при перезагрузке всё возвращается.
Подскажите что можно сделать?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('System.exe','');
QuarantineFile('C:\CSRSS.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\WINNT\CSRSS.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe','');
DeleteFile('R:\CSRSS.exe');
DeleteFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe');
DeleteFile('D:\WINNT\CSRSS.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\CSRSS.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\CSRSS.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\CSRSS.exe');
DeleteFile('Q:\autorun.inf');
DeleteFile('Q:\CSRSS.exe');
DeleteFile('R:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=37737 ).
Сделайте новые логи.
P.S. Диски Q: и R: наверно сетевые? Тогда лечить всю локалку надо, иначе бесполезно.
I am not young enough to know everything...
Junior Member
Вес репутации
56
на каждом компе запускать скрипт?
Я так понял?
Добавлено через 2 минуты
Нашел исходник, юзер один принёс флешку с файлом Home Video.avi.exe 512k и запустил его. Вопрос что это за гад такой, и что делает?
Последний раз редактировалось trigger_rs; 19.01.2009 в 18:00 .
Причина: Добавлено
Сообщение от
trigger_rs
на каждом компе запускать скрипт?
Я так понял?
Нет, выполнять скрипт нужно только на компьютере с которого делались логи!
Сообщение от
trigger_rs
Нашел исходник, юзер один принёс флешку с файлом Home Video.avi.exe 512k и запустил его. Вопрос что это за гад такой, и что делает?
Можете смело начинать новую тему и делать логи с машины на которой был запущен данный файл.
Сердце решает кого любить... Судьба решает с кем быть...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\autorun.inf - Worm.Win32.AutoRun.ekr ( BitDefender: Win32.Worm.Autoit.AT, NOD32: Win32/Autoit.CL worm, AVAST4: VBS:Malware-gen ) c:\csrss.exe - Worm.Win32.AutoRun.dkk ( DrWEB: Win32.HLLW.Autoruner.1812, BitDefender: Win32.Worm.Kolab.C, NOD32: Win32/Autoit.CL worm, AVAST4: Win32:AutoRun-ASW [Wrm] ) c:\windows\system.exe - Worm.Win32.AutoRun.dkk ( DrWEB: Win32.HLLW.Autoruner.1812, BitDefender: Win32.Worm.Kolab.C, NOD32: Win32/Autoit.CL worm, AVAST4: Win32:AutoRun-ASW [Wrm] )