Printable View
Каспер находит и лечит но постоянно всплывает вирус Worm.Win32.AutoRun.dkk Файл: S:\Home Video.avi.exe//UPX//script.au3
и вирус Worm.Win32.AutoRun.dkk Файл: O:\CSRSS.exe//UPX//script.au3
Кроме того на сервере при запуске IE выходит на адрес [url]http://amkbpk.110mb.com/[/url]
AVZ показывает что нарушена ассоциация СОМ и ВАТ файлов исправляет но при перезагрузке всё возвращается.
Подскажите что можно сделать?
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('System.exe','');
QuarantineFile('C:\CSRSS.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\WINNT\CSRSS.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe','');
DeleteFile('R:\CSRSS.exe');
DeleteFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe');
DeleteFile('D:\WINNT\CSRSS.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\CSRSS.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\CSRSS.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\CSRSS.exe');
DeleteFile('Q:\autorun.inf');
DeleteFile('Q:\CSRSS.exe');
DeleteFile('R:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=37737[/url]).
Сделайте новые логи.
P.S. Диски Q: и R: наверно сетевые? Тогда лечить всю локалку надо, иначе бесполезно.
на каждом компе запускать скрипт?
Я так понял?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Нашел исходник, юзер один принёс флешку с файлом Home Video.avi.exe 512k и запустил его. Вопрос что это за гад такой, и что делает?
[quote=trigger_rs;336461]на каждом компе запускать скрипт?
Я так понял?[/quote]
Нет, выполнять скрипт нужно только на компьютере с которого делались логи!
[quote=trigger_rs;336461]Нашел исходник, юзер один принёс флешку с файлом Home Video.avi.exe 512k и запустил его. Вопрос что это за гад такой, и что делает?[/quote]
Можете смело начинать новую тему и делать логи с машины на которой был запущен данный файл.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\autorun.inf - [B]Worm.Win32.AutoRun.ekr[/B] ( BitDefender: Win32.Worm.Autoit.AT, NOD32: Win32/Autoit.CL worm, AVAST4: VBS:Malware-gen )[*] c:\csrss.exe - [B]Worm.Win32.AutoRun.dkk[/B] ( DrWEB: Win32.HLLW.Autoruner.1812, BitDefender: Win32.Worm.Kolab.C, NOD32: Win32/Autoit.CL worm, AVAST4: Win32:AutoRun-ASW [Wrm] )[*] c:\windows\system.exe - [B]Worm.Win32.AutoRun.dkk[/B] ( DrWEB: Win32.HLLW.Autoruner.1812, BitDefender: Win32.Worm.Kolab.C, NOD32: Win32/Autoit.CL worm, AVAST4: Win32:AutoRun-ASW [Wrm] )[/LIST][/LIST]