-
Junior Member
- Вес репутации
- 54
Юзер занес на флешке вирусов.
Машина к Интернету не подключена. Подключена к локальной сети с сервером. Установлен корпоративный Symantec 7.5. Компы в сети обновляются с сервера.
При автоматической проверке антивир сообщает: «Функция автоматической защиты среагировала на угрозы», далее удлиняющийся список из «W32.Virut.CE» с указанием успеха в колонке действий.
Поначалу очень сильно тормозило при загрузке, особенно рабочий стол долго загружался.
После лечения вручную AVZ (там кое-что нашлось и удалилось), отключения от локальной сети и отключения автозапуска стало получше, но все равно рабочий стол очень долго запускается (намного позже антивируса и множества найденных угроз). И Symantec продолжает ругаться.
На флешке до лечения AVZ постоянно проявлялся autorun.inf и explorer.exe, потом пропали (может из-за отключения автозапуска)
На других компах в сети ничего такого не обнаружено. Только при проверке с сервера определяются те же угрозы.
Плюс периодически (в т.ч. при выполнении скрипта «лечения…» высвечивается окно «Защита файлов Windows» «Файлы, нужные для правильной работы Windows, были заменены неизвестными копиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Теперь вставьте WindowsXP Professional CD-ROM». Выполнение ничего не дает. Сначала вроде съедает дистриб, но ничего не происходит. Потом после перезагрузки (вручную) и выполнения скрипта опять выпало.
Часто выпадают ошибки Symantec типа «память по адресу… не может быть read… приложение будет закрыто».
P.S. Если можно, ответьте также, может ли эта зараза по сети распространиться и с какой вероятностью.
P.P.S. При выполнении скрипта «сбора информации...» подключался к локальной сети.
Заранее очень благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите Антивирус и Файрвол.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Sleen17.sys','');
QuarantineFile('c:\windows\system32\mmc.exe','');
QuarantineFile('c:\windows\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
СДелал, только почему-то карантин не в zip-архиве создался а в каталоге. Заархивировал AVZ - получился virus.zip.
-
Файлы чистые.
«Файлы, нужные для правильной работы Windows, были заменены неизвестными копиями.
sfc /scannow делали?
-
-
Junior Member
- Вес репутации
- 54
нет, это из cmd?? Если сделать поможет от дальнейшей подмены??
Добавлено через 7 часов 44 минуты
Извините за назойливость, но пока не понял, что же мне делать сейчас?
Как там с логами и т.п.?
Комп скоро будет очень нужен.
Последний раз редактировалось Bunch; 15.08.2010 в 02:02.
Причина: Добавлено
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
При запуске symantec уже не находит угроз, хотя один раз закрылся с ошибкой (выше описана).
При проверке системных файлов (sfc /scannow) Windows отказался принять диск с SP3 (говорит неправильный). Пришлось толкать родной (лицензионный) с SP2. После перезагрузки на всякий случай поставил сверху SP3.
Сделал новые логи.
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('C:\Program Files\\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SENS\Parameters','ServiceDll');
DeleteFile('C:\Program Files\\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSInfo\zrpacinr.dll');
BC_ImportDeletedList;
BC_Activate;
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Выполните в AVZ скрипт из файла ScanVuln.txt.
Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Жалобы есть?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-