Нужно ли во время лечения отрубать машины от сетки, что бы они снова не заразились? и может ли из-за этого темпа2эгзэ криво работать оборудование?
Printable View
Нужно ли во время лечения отрубать машины от сетки, что бы они снова не заразились? и может ли из-за этого темпа2эгзэ криво работать оборудование?
Да временно отключите компьютеры от сети, а то похоже заражение бегает и по сети.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\copy.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\copy.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\host.exe','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('D:\host.exe');
DeleteFile('F:\host.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\copy.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\copy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20508[/url]
Повторите логи.
нужно ли на всех трё компах делать:
Отключить через мастер решения проблем:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носите
? Спасибо
Ну да сделайте на всех. Хуже от этого не будет.
Если вставляете флешку, то сначала ее проверьте на заведомо чистом с отключенным автозапуском.
Если пользователи играют в онлайн-игры, то надо менять пароли.
с этим всё ок, temp2.exe вылезать перестал. Логи я снимал, когда компы от сетки были отключены.
Не все Ок с ним. АВЗ поубивал autorun-ы, но думаю где-то на флешках или в сетке они еще живут.
Надо будет попозже еще разок с него все логи прислать.
В смысле попозже? Тупо ещё раз переснимать их?
Да, именно так. Особенно после того, как кто-нибудь флешку в него вставит.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Было [b]copy.exe - Worm.Win32.Perlovga.a,
host.exe - Trojan-Dropper.Win32.Small.apl[/b]
по Касперскому.
Вот новые логи
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\copy.exe','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\copy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20508[/url]
D - это не флешка случаем.
Если да тогда скрипт нужно выполнять вместе с ней.
Повторите логи.
А что делать с остальными компами(темы "temp2" и "temp2-второй комп")? Они от него снова не заразятся, если я выполню щас скрипты, которые мне дали для них?
Из врагов только D:\autorun.inf и D:\copy.exe. Я так понимаю D: - это флешка. Если прибъём врага то она будет очищена.
Я на флэшке логи к этим трём компам таскаю(они без инета), но D вроде не флэшка, там кажись несколько разделов и D скорее всего таковым и является.
сделайте новые логи ...
Вот новые логи. Этот вроде нормально стал работать, а с первым и вторым компом (темы "temp2.exe" и "temp2.exe-второй комп") так хрень с ошибками svchost и осталась.
Да, и D - это раздел диска.
выполните скрипт ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\PROGRA~1\142D~1\B6C3~1\Drivers\bizersc.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Вот логи и карантин
bizersc.dll-чистый,сделайте логи новой версией AVZ.