Windows Server 2003 R2 SP2. Где-то подхватился Win32/Expiro.NAK. Антивирус Касперского его не определяет (создал загрузочную флешку с kav_rescue_10, загрузился, обновил базы, все проверил, не нашел). Этот вирус нашел NOD32, но он предлагает только удалить зараженные файлы, а хотелось бы вылечить, т.к. куча exe-шников уже заражена. В базах НОДа он с 23.12.2012, в базах Каспера нашел Win32/Expiro.w, по описанию подходит, но .NAK не определяет.hijackthis.logvirusinfo_syscheck.zip
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Дмитрий Бондарчук, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
эти файлы вам знакомы ?Код:G:\Arhiv\1.bat C:\1CBases\1C2007\1c77sql\Friday.bat C:\1CBases\1C2007\1c77sql\Monday.bat C:\1CBases\1C2007\1c77sql\Thursday.bat C:\1CBases\1C2007\1c77sql\Wednesday.bat
заархивируйте несколько заражённых файлов в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.Сообщение от Дмитрий Бондарчук
Сделайте лог Gmer
- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
- - - Добавлено - - -
+ отключите AVZPM и переделайте логи AVZ
Да, это бэкапы создаются.эти файлы вам знакомы ?
Загрузил несколько файлов. При проверке НОД пишет, что файлы заражены Win32/Expiro.NAK.
Результат загрузки- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
Файл сохранён как 130117_070801_virusinfo_autoquarantine_SERVER1C_50 f7a3515078b.zip
Размер файла 32661161
MD5 32c72b4b201f0ba5ca7f506de807a379
Файл закачан, спасибо!virusinfo_syscheck.zipgmer.log
Дмитрий Бондарчук, файлы ушли на анализ в лабораторию, скорей всего у вас файловой вирус, а также вы ещё заражены KIDO. Подождите немного пока придёт ответ по карантину. Пока давайте другого зловреда зачистим
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*', true); QuarantineFile('E:\WINDOWS\TEMP\buuso.exe',''); DeleteFile('E:\WINDOWS\TEMP\buuso.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','S48178116'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','S48178116'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Последний раз редактировалось regist; 17.01.2013 в 12:53.
Или несколько раз нажал или не пойму, но при загрузке карантина мне выдало такое:
Результат загрузки
Ошибка загрузки. Данный файл уже был загруженvirusinfo_syscheck.ziphijackthis.log
Дмитрий Бондарчук, детект пока пока добавили только на один файл, ещё раз продублировал запрос на анализ файлов через личный кабинет.
Остается только ждать? Хорошо б возможность вылечить зараженные файлы, сносить все не хочется. Вообще подобные файловые вирусы лечаться?
да.
- - - Добавлено - - -
Дмитрий Бондарчук, попробуйте скачать свежий Live CD от доктора Веба и пролечиться с помощью него. После этого сделайте новые логи и отпишитесь, что с проблемой.
- - - Добавлено - - -
пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.
Да свежий Др.Веб теперь уже находит и лечит, Win32.Expiro.46 он его называет. Позже сделаю новые логи.
Др. Веб все полечил (некоторое пришлось удалить, но чуток), НОД теперь тоже ничего не находит, случайные процессы кучу оперативы сжирать не начинают, комп не тормозит. Спасибо!
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \\firefox.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
- \\nerostartsmart.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
- \\putty.exe - Trojan.Win32.Vilsel.boxk ( AVAST4: Win32:Expiro-BP )
- \\vstudio.exe - Virus.Win32.Expiro.an ( AVAST4: Win32:Expiro-BP )
Уважаемый(ая) Дмитрий Бондарчук, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
