Комп атакует другие ПК в сети и на сменных носителях появляются файл Autorun.inf и папка RECYCLER
Printable View
Комп атакует другие ПК в сети и на сменных носителях появляются файл Autorun.inf и папка RECYCLER
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Фёдор\Мои документы\EBSetup.exe','');
QuarantineFile('C:\WINDOWS\system32\shmt.exe','');
QuarantineFile('I:\RECYCLER\S-51-3-27-5472947351-1739445574-612717418-3774\shmt.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('H:\RECYCLER\S-51-3-27-5472947351-1739445574-612717418-3774\shmt.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\rmubcntl.dll','');
QuarantineFile('C:\WINDOWS\cvnet05.dll','');
QuarantineFile('c:\program files\dtv wimax\cm\uiexec.exe','');
QuarantineFile('c:\program files\dtv wimax\cm\ssax226.exe','');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\RECYCLER\S-51-3-27-5472947351-1739445574-612717418-3774\shmt.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\RECYCLER\S-51-3-27-5472947351-1739445574-612717418-3774\shmt.exe');
DeleteFile('C:\WINDOWS\system32\shmt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
карантин выслал, прикрепляю новые логи
[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]
Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Что с проблемой?
Этот вирус Backdoor.Win32.IRCBot.tfh распространяется по сети, нашел его еще на нескольких ПК. Проблема вроде устранилась. Атаки прекратились.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\shmt.exe - [B]Backdoor.Win32.IRCBot.tfh[/B] ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.KDV.221041, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-TGM [Trj] )[*] h:\\autorun.inf - [B]Worm.Win32.AutoRun.dui[/B] ( DrWEB: Trojan.Autorun.14, BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-X [Wrm] )[*] h:\\recycler\\s-51-3-27-5472947351-1739445574-612717418-3774\\shmt.exe - [B]Backdoor.Win32.IRCBot.tfh[/B] ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.KDV.221041, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-TGM [Trj] )[*] i:\\autorun.inf - [B]Worm.Win32.AutoRun.dui[/B] ( DrWEB: Trojan.Autorun.14, BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-X [Wrm] )[*] i:\\recycler\\s-51-3-27-5472947351-1739445574-612717418-3774\\shmt.exe - [B]Backdoor.Win32.IRCBot.tfh[/B] ( DrWEB: BackDoor.IRC.Bot.743, BitDefender: Trojan.Generic.KDV.221041, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:VB-TGM [Trj] )[/LIST][/LIST]