Printable View
В расшаренных папках постоянно появляются файлы setup.exe и autorun.inf. Отсылаю на drweb. Setup.exe оказывается трояном и его добавляют в базу. Обновляю базу, но пока пролечу всю сеть он успевает обновиться, и антивирус его уже не знает. Отправляю его на drweb... и т.д. Помогите пожалуйста одолеть эту нечисть.
Вкладываю логи.
если появляется в расшаренных, то нужно проверять те машины, которые имеют доступ к шарам по сети.
пришлите на проверку файлы:
C:\WINDOWS\system\smss.exe
C:\Documents and Settings\Николай.1A89D413214048E\Local Settings\Temp\installer1.0.48.exe
Да вроде антивирус на всех машинах обновляю. А этих файлов у меня нет. Не так давно они были удалены антивирусом как неизлечимые.
[QUOTE=Necrofag;88381]Да вроде антивирус на всех машинах обновляю. А этих файлов у меня нет. Не так давно они были удалены антивирусом как неизлечимые.[/QUOTE]
"не так давно" - это когда? во вчерашних логах файл C:\Documents and Settings\Николай.1A89D413214048E\Local Settings\Temp\installer1.0.48.exe присутствует.
пофиксите в HijackThis следующую строку:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Сейчас проверил - все известные мне installer1.0.48.exe детектятся дрвебом как Trojan.MulDrop.4554. И давно детектятся. Дрвеб обновляйте родным апдейтером, желательно сразу после подключения к интернету и далее раз в час.
"не так давно" - это немного погодя после отправки логов. Я отсылал smss.exe на проверку в drweb, ближе к 15.00 они сообщили, что добавили его в базу, но реально эту базу выложили уже ближе к вечеру. Я уже начал думать, что и smss меняется так же, как и setup.exe.
Кстати installer именно так и определился.
В общем ситуация не изменилась. Вроде все компы почистил, но файлы продалжают появляться.