На компьютере вирус, который антивирус avg определяет как i-worm generic.cll. Он периодически создает файл x. Так же были копии вируса под названиями wrrvx.sd и wrrvx.dll. Помогите, пожалуйста, избавиться от этой заразы.
Printable View
На компьютере вирус, который антивирус avg определяет как i-worm generic.cll. Он периодически создает файл x. Так же были копии вируса под названиями wrrvx.sd и wrrvx.dll. Помогите, пожалуйста, избавиться от этой заразы.
CureIT пробовали?
Cureitом сканировал, но на тот момент, когда сканировал данного вируса на компе не было. Он просто появляется в определенный момент сам. Причем не только на моем компьютере, на соседним компьютере у коллеги тоже. Мы его удаляем, некоторое время его нет. Потом снова сообщение о вирусе появится.
Локальная сеть есть? Расшаренные папки?
Да локалка есть, папки расшаренные есть, сетевые диски тоже. Кстати на сетевых дисках червь kido. Сегодня обнаружили. Ну у меня комп им не заражен!
Значит источник где-то в сети, его нужно искать, пока не найдете вас так и будут мучать...
В сети источник нашли, но там вирус совершенно другой!
Сделайте с него логи, в отдельную тему...
С них логи сделать нереально, мне их не просканировать. До сервера никто не допустит.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 45 минут[/I][/B][/color][/size]
Drweb определяет этот вирус как Win32.HLLW.Shadow.based
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 57 минут[/I][/B][/color][/size]
с этим-то вирусом поможете или как? это тоже модицикация kido как я понял. только дркгая какая-то.
Да это Kido, обновления все на системе стоят?
скачал заплатку от майкрософта, не помогает! windows 2000 с sp4 с rollupом и с этим критическим обновлением
Сделайте логи AVZ...
они же приложены уже
И тишина!
Заплатки должны быть - MS08-067, MS08-068, MS09-001. Плюс нетривиальный пароль администратора - или отключение административных шар.
спасибо, попробуем
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 15 минут[/I][/B][/color][/size]
поставил. вирус все равно долбится, сволочь!
разобрался вроде как с ним бороться!
странно как-то. все службы вроде удалил левые. а тело вируса все равно появляется снова и снова.
Пролечитесь нормально
[url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
фигня все это, не помогает. он все равно появляется иногда
У вас все заплатки стоят?
скажите, пожалуйста. у меня еще такой вопрос. не знаю по теме или нет. многие компьютеры на предприятии виснут при загрузке на применении политики безопасности. это последствия этого вируса или что-то другое?
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
заплатки все три поставил. службы не появляются, но тело вируса иногда появляется!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 57 минут[/I][/B][/color][/size]
Кстати поставил себе nod 32. Вот логи журнала. Через мазилу лезет и через квип. Только что с этим делать?
28.01.2009 12:00:34 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 11:43:46 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 11:41:45 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 11:40:19 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 11:07:24 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 10:57:00 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 10:54:44 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 10:48:46 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 10:16:08 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Opera\Opera.exe.
28.01.2009 10:11:04 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 10:08:47 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 9:58:51 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\QIP\qip.exe.
28.01.2009 9:25:08 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 9:24:20 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 9:22:45 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 9:08:55 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\QIP\qip.exe.
28.01.2009 8:40:19 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 8:37:55 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
28.01.2009 8:35:17 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 16:49:11 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 16:39:45 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\QIP\qip.exe.
27.01.2009 16:26:37 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 16:02:59 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 16:02:23 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 15:48:13 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 15:33:24 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\QIP\qip.exe.
27.01.2009 15:15:35 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 15:11:00 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 14:56:40 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 14:40:09 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 14:28:48 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 14:17:57 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 14:05:06 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 13:47:02 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 13:42:01 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 13:26:59 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 13:13:18 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:55:14 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:53:18 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:36:04 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:23:30 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:09:27 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:09:27 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 12:02:05 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 11:45:07 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 11:33:39 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 11:23:34 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\QIP\qip.exe.
27.01.2009 11:10:54 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 10:55:01 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 10:45:33 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
27.01.2009 10:38:36 Real-time file system protection file C:\WINNT\System32\wrrvx.sd a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
ну ответьте, пожалуйста, проблема-то серьезная!
Пароли на учетки он тоже может подбирать, пока не вылечите всю сеть, спокойствия вам не видать...
спасибо, будем стараться!
Победил я его на своем компе. Спасибо вам. Теперь надо думать как на других компах почистить. Чтобы в автоматическом режиме. Скриптик бы написать в avz, но я не умею!
[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]
научите меня, пожалуйста писать скрипты avz. сейчас объясню, что мне надо. мне надо, чтобы скриптиком удалялись некоторые ветки реестра. просто у нас везде 2000 винда стоит, а атм права на ветках не сбросить. этот вирус он выставляет на свои ветки такие права, что их не удалить. мне надо вот удалять эти ветки реестра с машин. ветки бы я сами ручками прописывал в скрипте, так как они везде по-разному называются. мне просто образец нужен. и еще хотелось бы, чтобы скриптик делал поиск и удаление файлов (они тоже могут быть заблокированы) размером 156691 байт. Это реально?!
ответьте, пожалуйста!
Отвечу, но не обрадую.
Мы учим писать скрипты для AVZ, но это процесс длительный.
В Вашем случае надо идти станд. путем: логи с каждой машины в отдельную тему.
логи с каждой машины не получится. на предприятии больше 100 машин. + серваки.
мне же всего парочку тегов нужно узнать. как разблокировать и удалять ветки в реестре и как искать и удалять файлы определенного размера, если такое можно.
Тогда справку читайте...
а где справка находится?
Внутри AVZ. Где Хелп, там описание всех команд для скрипта.
спасибо