-
Junior Member
- Вес репутации
- 52
Самовосстанавливающиеся вирусы
Здравствуйте!
Есть проблема с одним компьютером в локальной сетке.
Комп под управлением Windows XP Home Edition SP3.
Какое-то время назад, около месяца, компьютер неожиданно перестал заходить на некоторые сайты, возникли подозрения на вирусы, так как остальные компьютеры локалки конектятся к сайтам спокойно и без проблем. Стоял НОД 4.0.474, все настройки выставлены на максимум: эвристика, обнаружение потенциально опасного ПО, система своевременного обнаружения и т.д.
Снес его поставил КАВ 2010 9.0.0.736., запустил полную проверку. Он нашел кучу троянов в system32. Через несколько дней опять запустил полную проверку, теже вирусы в той же папке. Возникло подозрение, что пользователь отключает антивирус, поставил пароль. Через 11 дней запустил полную проверку вирусы теже и в том же месте. И нет доступа к ряду сайтов: Windows Update и корпоративные сайты.
На шлюзе настройки не менялись, шлюз под управлением Керио.
Что делать ума не приложу, обратился к вам за помощью.
P.S.Если нужны логи Касперского или еще что с радостью вышлю.
P.P.S. Trojan.jpg - выдержка последнего лога Касперского, в предыдущих были теже вирусы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\fdd3c874.exe,\\?\globalroot\systemroot\system32\Lybl3Dl.exe,
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\tolstobova\Local Settings\Temp\~DFB971.tmp','');
QuarantineFile('C:\WINDOWS\system32\fdd3c874.exe','');
DeleteFile('C:\WINDOWS\system32\fdd3c874.exe');
DeleteFile('C:\Documents and Settings\tolstobova\Local Settings\Temp\~DFB971.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Удалите Bonjour - если не пользуетесь.
- Очистите файл hosts если изменения в нём сделаны не Вами.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Скрипты выполнены
Выполнил все ваши указания. Прикреплены все запрашиваемые файлы
Последний раз редактировалось V_Bond; 07.05.2010 в 16:03.
Причина: читаем приложение 3 правил !!!
-
Junior Member
- Вес репутации
- 52
Прошу прощения
Прошу прощения за нарушение пункта 3 правил
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сайты до сих пор блокированы
Доступ к некоторым сайтам до сих пор блокирован: Windows Update, часть сайтов на мастерхосте.
Как уже говорил с других компьютеров они доступны, с этого нет.
Последний раз редактировалось Alex820202; 07.05.2010 в 16:50.
Причина: лишнее слово
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что теперь с доступом?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо, все нормально заработало.
Теперь хочу записаться к вам на обучение. Буду подавать заявку.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-