-
Junior Member
- Вес репутации
- 60
скрываются папки
Здравствуйте.
Ситуация такова.
Какой-то зверь селится в расшаренные папки и делает их скрытыми.
НОД зверя убивает, но папки остаются скрытыми, поэтому к ним нет доступа, а он нужен. И зверь появляется вновь. В логах НОДа файлы с различными именами и расширениямми .scr и .exe
По версии НОДа зверь зовется Win32/AutoRun.Delf.EX червь
Проверьте, пожалуйста, логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах ничего необычного.
Компьютер в локальной сети?
Если основной антивирус NOD, то что делают на компьютере остатки антивируса Касперского? Зачищайте все его следы с помощью утилиты KAV REmover10 (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
каспером когда-то давно один раз сканили
удалю
сканил еще CureIt'ом. он нашел это:
C:\Documents and Settings\XXX\Application Data\Sun\Java\Deployment\cache\6.0\13\296bc74d-43823f44/ciceroSource.class инфицирован Java.DownLoader.7
C:\Documents and Settings\XXX\Application Data\Sun\Java\Deployment\cache\6.0\13\296bc74d-43823f44 - архив содержит инфицированные объекты - перемещен
У веба на сайте описания не нашел. Это может быть оно?
-
Сообщение от
17_sqrt_2
папки остаются скрытыми, поэтому к ним нет доступа, а он нужен.
Права доступа к папкам и атрибут "скрытая" у папки это совсем разные вещи. Что вы имеете ввиду?
Установите надежные пароли на учетные записи пользователей с правами администратора.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sqzolre.dll','');
DeleteFile('C:\WINDOWS\system32\sqzolre.dll');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\odjofmkr\Parameters');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\odjofmkr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
Что вы имеете ввиду?
"Клиент", который смотрит в эти папки - досовый и ему ой как важно все.
Как-то сталкивался с тем, что такой клиент при определенных обстоятельствах видел шару только под логином/паролем создателя-владельца шары. Но это лирика.
По теме. Скрипт ScanVuln ничего не нашел, лога не создал.
Второй скрипт отработал, но файла sqzolre.dll не было и карантин пуст. Ветки реестра выжили и такие же есть в ControlSet001 и ControlSet003.
Gmer падает на предварительном сканировании.
Лог по пункту 2 Диагностики прикладываю.
-
Сообщение от
17_sqrt_2
Какой-то зверь селится в расшаренные папки и делает их скрытыми.
Смотрите кто владелец файла - узнаете какой компьютер заражён.
Этот компьютер в порядке.
-
-
Junior Member
- Вес репутации
- 60
не очень в порядке
ветки из реестра удалил gmer'ом так:
Код:
hnnpo6uw.exe -del service odjofmkr
hnnpo6uw.exe -del file "C:\WINDOWS\system32\sqzolre.dll"
hnnpo6uw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\odjofmkr"
hnnpo6uw.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\odjofmkr"
hnnpo6uw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\odjofmkr"
hnnpo6uw.exe -reboot
но сканить gmer по-прежнему не хочет
здесь сейчас так:
http://216.246.90.119/showthread.php?t=79017
не распознаются что-то адреса
сейчас досовый клиент шару видит, но нет уверенности, что и завтра-послезавтра увидит
-
В AVZ меню Файл - Восстановление системы - отметьте галочками строки:
20. Настройки TCP/IP: Удалить статические маршруты
и нажмите кнопку "Выполнить операции"
Теперь заходит на virusinfo.info?
-
-
Junior Member
- Вес репутации
- 60
нет, не заходит
более того, постоянные маршруты мне нужны...сложно все с досовыми клиентами(но это я восстановлю). не в маршрутах дело.
-
Команда
ping virusinfo.info
определяет ip адрес?
-
-
Junior Member
- Вес репутации
- 60
нет
пользую nslookup
Вроде разобрался...НОДовый файрволл почему-то начал блочить
Тему не кройте пока...Подождем пару дней
Последний раз редактировалось 17_sqrt_2; 26.05.2010 в 13:54.