Появились скрытые папки BCC, OGa, файлы vgzjmt.exe, khv, khs ну и autorun.inf, куда же без него:) Короче после удаления они появляются снова, Dr.Web молчит и NOD32 тоже. Помогите разобраться, сильного вреда от них нет но и приятного тоже мало.
Printable View
Появились скрытые папки BCC, OGa, файлы vgzjmt.exe, khv, khs ну и autorun.inf, куда же без него:) Короче после удаления они появляются снова, Dr.Web молчит и NOD32 тоже. Помогите разобраться, сильного вреда от них нет но и приятного тоже мало.
[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('0K1DM7IA-210A-36OP-QQS9-431296375110');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644242');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\OgarD.exe','');
QuarantineFile('C:\BCC\i\Lsp.exe','');
QuarantineFile('c:\windows\system32\dirsize.dll','');
DeleteFile('C:\BCC\i\Lsp.exe');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\OgarD.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/COLOR][/B]" над первым сообщением темы).
Повторите логи.
И что мне делать дальше кто нибудь ответит???
В сообщения №2 даны все рекомендации. Вы из выполняли?
да я загрузил все файлы из карантина сразу же!
До конца прочитать не сумели?
[QUOTE='Белый Сокол;455605']Повторите логи.[/QUOTE]Это значит сделайте новый комплект логов
Повторил логи. Появился также virusinfo_cure.zip он нужен?
Правда virusinfo_cure.zip пустой..
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 14 минут[/I][/B][/color][/size]
[B]thyrex[/B], куда пропали???
Удалите папки:
[B]c:\SYSTEM
C:\BCC[/B]
и файлы:
[B]C:\autorun.inf
D:\autorun.inf[/B]
В логах ничего подозрительного нет.
+
Поставьте надежный пароль на учетные записи с правами Администратора.
после удаления всех этих папок со всех дисков они снова появляются потому что в реестре где то тихо сидит какая то тварь вот только поймать я ее незнаю как:(
Отчет утилиты GSI сделайте
ок, сейчас
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
пож-та
блин вот оно:)
[B]thyrex[/B], ну сделал и че? сами то где??
[QUOTE=arman666;456465]
[B]thyrex[/B], ну сделал и че? сами то где??[/QUOTE]А Вы ему зарплату платите? Ждите...
Выполните скрипт в AVZ
[code]begin
DeleteFileMask('C:\Temp', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Что с проблемой?
короче есть в корне С скрытые файлы zrpara.exe, vgzjmt.exe, khv, khs, autorun.inf и скрытые папка BCC. AVP все енто добро определяет и убивает но вот после перезагрузки все снова на месте!!! Че за фигня??? Удалял вручную все это в том числе папки System Volume Information, Temp, RECYCLER со всех дисков, перезагружался и все бесполезно..:(
Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Начать лучше с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] для Windows (может потребоваться активация).
Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
Обновите Java.
а причем здесь acrobat reader? блин у меня сетка небольшая около 20 машин и везде такая история и че делать?
Мне от себя не видно, через какие дыры лезут эти трояны. Вот я перечислил те уязвимости, что в логах видны.
[QUOTE='arman666;457026']и че делать? [/QUOTE]
Дыры затыкать.
+ к AndreyKa
[QUOTE='arman666;456991']AVP все енто добро определяет[/QUOTE]Случайно не как Packed.Win32.Clone.bj?
нет, я не запомнил названия, но после последней точки было .glc - на viruslist.ru описания нет.
Если папки и файлы появляются на расшаренных дисках, то заразу стоит поискать в локальной сети
Будем искать:(
[size="1"][color="#666686"][B][I]Добавлено через 7 часов 10 минут[/I][/B][/color][/size]
Если (по всей локалке проделал это) в безопасном режиме удаляешь всю эту заразу то она больше не возвращается:) но вот проблема в том что часто левые флешки приходят а вот ни нод32 ни доктор веб эту заразу САМИ определять ни за что не хотят? Подскажите как быть?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Как заставить нод увидеть эту заразу и правда ли что есть какая то разница между обновлениями для лицензионной версии и триальной???
[QUOTE='arman666;457560']доктор веб эту заразу САМИ определять ни за что не хотят? [/QUOTE]
KIS 2009: Worm.Win32.AutoRun.glc; DrWEB 5.0: Win32.HLLW.Autoruner.6554 (на 25.08.2009 14:25:14)
Свежескаченный CureIt должен определять.
[QUOTE='arman666;457560']Как заставить нод увидеть эту заразу и правда ли что есть какая то разница между обновлениями для лицензионной версии и триальной??? [/QUOTE]
Отправьте зловреда в zip файле с паролем infected на адрес [email][email protected][/email]
подробности тут: [url]http://kb.eset.com/esetkb/index?page=content&id=SOLN141&actp=LIST_POPULAR[/url]
Про второе не знаю.
спасибо, отправлю, сообщу о результатах!
Пацаны всем привет! Короче результат такой, теперь НОД определяет эту заразу как Win32/Virut.NBP вирус. Всем спасибо за участие! :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\bcc\i\lsp.exe - [B]Worm.Win32.AutoRun.glc[/B] ( DrWEB: Win32.HLLW.Autoruner.6554, BitDefender: Gen:Trojan.Heur.fm0@d12u4dhi, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Spyware-gen [Trj] )[/LIST][/LIST]