Постоянно появляются файлы

Printable View

28.04.2008, 10:10
Chika

Вложений: 3

Постоянно появляются файлы

На диске D:\ сервера постоянно появляются файлы Autorun.inf, copy.exe, host.exe. Зараженные (NOD32) Autorun, Perlovga.A, TroyanDropper.Small.APL. Помогите пожалуйста избавится от них.
28.04.2008, 10:20
drongo

Зайти админом именно с консоли, а не терминалкой и выполнить логи avz
28.04.2008, 12:45
Chika

Вложений: 3

[quote=drongo;220921]Зайти админом именно с консоли, а не терминалкой и выполнить логи avz[/quote]

Выполнено, прилагаю:
28.04.2008, 12:59
V_Bond

выполните скрипт ...
[code]
begin
QuarantineFile('D:\autorun.inf','');
QuarantineFile('UPS.sys','');
QuarantineFile('C:\PROGRA~1\ROMANN~1\TORNSS~1.DLL','');
DeleteFile('D:\autorun.inf');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
29.04.2008, 09:22
Chika

скрипт выполнил
карантин отправил
29.04.2008, 09:46
V_Bond

весьма странно .... autorun.inf в карантин не попал ...
попробуйте поискать и прислать по правилам ...
29.04.2008, 10:25
Chika

Файл autorun.inf имеет атрибуты read-only, system, hidden, archive снятие этих атрибутов не помогает (пробовал командой attrib, explorer,Far) атрибуты тутже восстанвливаются (или не снимаются) при этом доступ к файлу даже на просмотр невозможен. Только удаление (через несколько секунд они опять появляются). Таких файла три еще два называются copy.exe и host.exe
29.04.2008, 10:27
V_Bond

авз - сервис- поиск файлов на диске ... попробуйте так добавить файлы в карантин ...
29.04.2008, 11:13
Chika

Поместить в карантин удалось только один файл host.exe (выслал). При попытке поместить два других AVZ ругается на "Ошибка карантина файла, попытка прямого чтения (d:\copy.exe). Карантин с использованием прямого чтения - ошибка"
29.04.2008, 11:22
V_Bond

в карантине пусто ...
выполните скрипт... (обратите внимание ... будет перезагрузка)
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\copy.exe','');
QuarantineFile('D:\host.exe','');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\copy.exe');
DeleteFile('D:\host.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
29.04.2008, 14:08
Chika

карантин выслал но он опять пустой кажись
29.04.2008, 14:23
V_Bond

действительно пустой ... но файлы на диске есть ...
virusinfo_syscheck.zip сделайте ...
29.04.2008, 15:03
Chika

Кажется получилось карантин собрать. Выслал. Посмотрите пожалуйста
29.04.2008, 15:23
V_Bond

D:\copy.exe Worm.Win32. Perlovga.a
D:\host.exe Trojan-Dropper.Win32.Small.apl
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\host.exe');
DeleteFile('c:\windows\autorun.inf');
DeleteFile('c:\windows\copy.exe');
DeleteFile('c:\windows\svchost.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\copy.exe');
DeleteFile('D:\host.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
22.02.2009, 05:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\copy.exe - [B]Worm.Win32.Perlovga.a[/B] (DrWEB: Trojan.Copyself)[*] d:\\host.exe - [B]Trojan-Dropper.Win32.Small.apl[/B] (DrWEB: Trojan.MulDrop.4181)[/LIST][/LIST]