Доброе время суток! засела эта зараза, kav6 его видит, удаляет с перезагрузкой, но он появляется снова. dr.webcurit в безопасном тоже не помог. Заранее огромное спасибо!
Доброе время суток! засела эта зараза, kav6 его видит, удаляет с перезагрузкой, но он появляется снова. dr.webcurit в безопасном тоже не помог. Заранее огромное спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) brusbox, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\intel\logs\organize\dupack\dbr\csrss.exe'); QuarantineFile('c:\intel\logs\organize\dupack\dbr\csrss.exe',''); DeleteFile('c:\intel\logs\organize\dupack\dbr\csrss.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(false); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Уведомление
Новые логи выполнить непосредственно за компьютером, не из терминальной сессии.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Спасибо огромное за вашу работу!
Пофиксите в HijackThis:
Что с проблемой?Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
Опять сидит в том же каталоге при быстрой проверки kav6 и Очень сильно есть входящий трафик.
сделал
Выполните скрипт в uVS Как выполнить скрипт в uVS
Сделайте новый лог uVS.Код:;uVS v3.80.1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE delall %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE deltmp restart
сделал
Что с проблемой ?
Вроде как проблема решилась. Буду мониторить до понедельника по рдп. Спасибо за помощь!
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Подождём до понедельника.
В выходные все замечательно, понедельник утро опять вылез. Значит засел он еще и на пользовательских ком-ах. Данный код:
;uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS .EXE
delall %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS .EXE
deltmp
restart
подойдет чтоб и пользовательские машины почистить?
Нет не подойдет. 1-н компьютер = 1-на тема.
Скрипты выполняемые из других тем и для других компьютеров могут ... http://virusinfo.info/content.php?r=136-pravilaНеобходимо искать заражающего.Важное замечание
Пожалуйста, не выполняйте скрипты лечения и любые другие рекомендации, написанные для других пользователей! Каждый случай уникален, Вы можете нанести вред вашему компьютеру! За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Понятно. Прошуршу все машины kav6.Он хоть видит заразу.
Проверил все ком-ры. Были найдены: Trojan-Banker.win32,Troyan.win32.Agentb,Troyan.Banker.Win 32.Agent,Troyan.Win32.Zupchas. Ни какого наменка на HackTool.Win32.BruteForce.
Проверьте компьютеры http://support.kaspersky.ru/9208?el=88446 утилитой Trojan-Banker.Win32.Capper, смените пароли. По серверу новый лог AVZ и uVS
Проблема решилась "топорным" методом. В ручную удалил все лишние csrcc, пока сутки "полет нормальный".
Ничего подозрительного в логах.
Уважаемый(ая) brusbox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
