Доброе время суток! засела эта зараза, kav6 его видит, удаляет с перезагрузкой, но он появляется снова. dr.webcurit в безопасном тоже не помог. Заранее огромное спасибо!
Доброе время суток! засела эта зараза, kav6 его видит, удаляет с перезагрузкой, но он появляется снова. dr.webcurit в безопасном тоже не помог. Заранее огромное спасибо!
Уважаемый(ая) [B]brusbox[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте !!!
Выполните скрипт в AVZ:
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\intel\logs\organize\dupack\dbr\csrss.exe');
QuarantineFile('c:\intel\logs\organize\dupack\dbr\csrss.exe','');
DeleteFile('c:\intel\logs\organize\dupack\dbr\csrss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
[NOTICE]Новые логи выполнить непосредственно за компьютером, не из терминальной сессии.[/NOTICE]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Спасибо огромное за вашу работу!
Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search[/CODE]
Что с проблемой?
Опять сидит в том же каталоге при быстрой проверки kav6 и Очень сильно есть входящий трафик.
[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]
сделал
Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.80.1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE
delall %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE
deltmp
restart[/CODE]
Сделайте новый лог uVS.
сделал
Что с проблемой ?
Вроде как проблема решилась. Буду мониторить до понедельника по рдп. Спасибо за помощь!
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Подождём до понедельника.
В выходные все замечательно, понедельник утро опять вылез. Значит засел он еще и на пользовательских ком-ах. Данный код:
;uVS v3.80.1 script [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
zoo %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE
delall %SystemDrive%\INTEL\LOGS\ORGANIZE\DUPACK\DBR\CSRSS.EXE
deltmp
restart
подойдет чтоб и пользовательские машины почистить?
Нет не подойдет. 1-н компьютер = 1-на тема.
Скрипты выполняемые из других тем и для других компьютеров могут ... [url]http://virusinfo.info/content.php?r=136-pravila[/url] [QUOTE]Важное замечание
Пожалуйста, не выполняйте скрипты лечения и любые другие рекомендации, написанные для других пользователей! Каждый случай уникален, Вы можете нанести вред вашему компьютеру! За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.[/QUOTE]
Необходимо искать заражающего.
Понятно. Прошуршу все машины kav6.Он хоть видит заразу.
Проверил все ком-ры. Были найдены: Trojan-Banker.win32,Troyan.win32.Agentb,Troyan.Banker.Win32.Agent,Troyan.Win32.Zupchas. Ни какого наменка на HackTool.Win32.BruteForce.
Проверьте компьютеры [url]http://support.kaspersky.ru/9208?el=88446[/url] утилитой Trojan-Banker.Win32.Capper, смените пароли. По серверу новый лог AVZ и uVS
Проблема решилась "топорным" методом. В ручную удалил все лишние csrcc, пока сутки "полет нормальный".
Ничего подозрительного в логах.