На диске D:\ сервера постоянно появляются файлы Autorun.inf, copy.exe, host.exe. Зараженные (NOD32) Autorun, Perlovga.A, TroyanDropper.Small.APL. Помогите пожалуйста избавится от них.
На диске D:\ сервера постоянно появляются файлы Autorun.inf, copy.exe, host.exe. Зараженные (NOD32) Autorun, Perlovga.A, TroyanDropper.Small.APL. Помогите пожалуйста избавится от них.
Зайти админом именно с консоли, а не терминалкой и выполнить логи avz
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('D:\autorun.inf',''); QuarantineFile('UPS.sys',''); QuarantineFile('C:\PROGRA~1\ROMANN~1\TORNSS~1.DLL',''); DeleteFile('D:\autorun.inf'); end.
скрипт выполнил
карантин отправил
весьма странно .... autorun.inf в карантин не попал ...
попробуйте поискать и прислать по правилам ...
Файл autorun.inf имеет атрибуты read-only, system, hidden, archive снятие этих атрибутов не помогает (пробовал командой attrib, explorer,Far) атрибуты тутже восстанвливаются (или не снимаются) при этом доступ к файлу даже на просмотр невозможен. Только удаление (через несколько секунд они опять появляются). Таких файла три еще два называются copy.exe и host.exe
авз - сервис- поиск файлов на диске ... попробуйте так добавить файлы в карантин ...
Поместить в карантин удалось только один файл host.exe (выслал). При попытке поместить два других AVZ ругается на "Ошибка карантина файла, попытка прямого чтения (d:\copy.exe). Карантин с использованием прямого чтения - ошибка"
в карантине пусто ...
выполните скрипт... (обратите внимание ... будет перезагрузка)
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\autorun.inf',''); QuarantineFile('D:\copy.exe',''); QuarantineFile('D:\host.exe',''); DeleteFile('D:\autorun.inf'); DeleteFile('D:\copy.exe'); DeleteFile('D:\host.exe'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин выслал но он опять пустой кажись
действительно пустой ... но файлы на диске есть ...
virusinfo_syscheck.zip сделайте ...
Кажется получилось карантин собрать. Выслал. Посмотрите пожалуйста
D:\copy.exe Worm.Win32. Perlovga.a
D:\host.exe Trojan-Dropper.Win32.Small.apl
выполните скрипт ....
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\host.exe'); DeleteFile('c:\windows\autorun.inf'); DeleteFile('c:\windows\copy.exe'); DeleteFile('c:\windows\svchost.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\copy.exe'); DeleteFile('D:\host.exe'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- d:\\copy.exe - Worm.Win32.Perlovga.a (DrWEB: Trojan.Copyself)
- d:\\host.exe - Trojan-Dropper.Win32.Small.apl (DrWEB: Trojan.MulDrop.4181)
Уважаемый(ая) Chika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.