Всем привет! Ос win 2003x64r2, антивирус Eset endpoint 5.02214, он его видит блокирует,удаляет но полностью не очищает компютер...тоесть в логах постоянно появляется запись о активизации даного червья(вируса)
логи с ваших програм додаю ниже.
Спасибо! Зарание благодарен!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) anatoliy2004, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
На сервере его в активном состоянии не видно, только хвосты в реестре. Это сетевой червь, я правильно понимаю, антивирус находит его в расшаренных ресурсах?
В первую очередь поменяйте администраторские пароли на сложные, червь их подбирает.
Смотрите в журнале безопасности попытки авторизации, чтобы определить, с каких компьютеров идёт атака.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
WBR,
Vadim
Прикрепляю полный образ автозапуска!
Вот такое пишет в логах антивируса:
21.05.2014 14:14:17 Защита в режиме реального времени файл C:\WINDOWS\Offline Web Pages\cache.txt Win32/Morto.B червь очищен удалением NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\SysWOW64\svchost.exe.
в принципе сообщение появляется каждых 5-10 секунд..
Да перед етим было также замечено левые пользователи в системе...
все были мною удалены + сменены все пароли на те что нужны....пароли поставлены довольно таки сложные.
Сейчас все шары закрою..посмотрю на результат!
Большое спасибо за помощь!
Это Вы не то сделали, инструкцию по созданию полного образа автозапуска перечитайте и выполните, процедура может до получаса занять, образ в архиве должен несколько сот килобайт весить.
WBR,
Vadim
ой затупил..извиняюсь!
Обновите Java SE 7 Update 45 до 55-го билда, а Opera - до 12.17, это уязвимые версии.
Плохого не видно, как обстановка?
WBR,
Vadim
итак обновил оперу и яву до последних версий..закрыл все шары..
но всеровно:
21.05.2014 16:14:23 Защита в режиме реального времени файл C:\WINDOWS\Offline Web Pages\cache.txt Win32/Morto.B червь очищен удалением NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\SysWOW64\svchost.exe.
Скрин додаю в прикрепленном файле!
Последний раз редактировалось anatoliy2004; 21.05.2014 в 17:49.
Если отключить от сети вовсе - что будет?
WBR,
Vadim
Пока спокойно!!! даже при включеном интернете и локалке!!!!! Спасибо!
Ищите источник[и] заражения в локалке, проверьте все компьютеры штатным антивирусом со свежими базами, либо Dr. Web Cureit.
WBR,
Vadim
Ок..буду искать...правда я удаленно все это делал..сижу за 150 км от этой локалки
О-о, у Вас длинные руки
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Search for critical vulnerabilities
Frequently used critical vulnerabilities not found.
Походу все нормик!!!!
Не расслабляйтесь, пока всю сетку не вычистите.
Последний скрипт универсальный, рабочие станции им тоже проверьте.
Выполните рекомендации после лечения.
WBR,
Vadim
Итак локалки сейчас нету вообще..тоесть комп один стоит и всё !!
Ваши права в разделе
Ответить с цитированием
