Прошу помощи в удалении заразы(трояны?)...

**CINN** · 03.07.2009, 22:23

Приветствую!

Случилось следующее- ни с одного компьютера в фирме стало нельзя зайти на сервер почты по привычным логинам и паролям.
Принялись смотреть компьютеры, лично на своём обнаружил странные вещи: на любую флэшку записываются файлы autorun.inf и замаскированные под корзину Temp002, storage, в которых находятся файлы sys.exe и key.exe. Ещё в RECYCLER обнаружен sysdate.exe, который никак прибить не получается.

На компьютерах установлен антивирус Avast!, но он ничего не видит.

Вопрос простой- как извести заразу и что является её(заразы) исходником(где искать)?

Сделал всё по инструкции, вот логи:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 03.07.2009, 22:44

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\storage\sys.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0385064376-0606443716-783845537-5243\sysdate.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0385064376-0606443716-783845537-5243\sysdate.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\storage\sys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**CINN** · 03.07.2009, 22:48

Сообщение от V_Bond

пришлите карантин согласно приложения 3 правил
повторите логи

Спасибо за ответ!
Карантин весит 19Мб., в которые AVZ засунул подозрительные ему *.max файлы(от 3DS MAX). Файлы давнишние, высылать все 19Мб?

Выслал.

Выполнил скрипт, autorun.inf с флэшки исчез, псевдокорзины Temp002, storage, RECYCLED остались. Из RECYCLER на C: sysdate.exe исчез. Псевдокорзины раньше с флэшки не удалялись, теперь удалились.
Чуть позже логи выложу.

**CINN** · 04.07.2009, 00:45

Итак, был выполнен скрипт, логи результатов ниже:

**Bratez** · 04.07.2009, 06:53

В логах ничего подозрительного.
Рекомендуется установить SP3 и последующие обновления.

**CINN** · 04.07.2009, 16:43

Сообщение от Bratez

В логах ничего подозрительного.
Рекомендуется установить SP3 и последующие обновления.

Спасибо!
Можно ли как-то отыскать на компьютере оригинал(исходник), который и заражал комп? Может он где-то до сих пор лежит?
WinXP у меня лицензионная, но, когда был слабый Инет, замучила загрузкой обновлений и просьбами перегрузиться. Поэтому обновления и встроенную защиту отключил. Его встроенная защита насколько эффективна против таких троянов? Имеет ли смысл её включить снова?

**Bratez** · 04.07.2009, 16:59

Сообщение от CINN

Можно ли как-то отыскать на компьютере оригинал(исходник), который и заражал комп? Может он где-то до сих пор лежит?

Нет, конечно! Всё было удалено (см. скрипт).
Комп заражался от флэшки, а флэшка - от компа...

Обновления ставьте обязательно. Встроенный брандмауэр Windows включите, если не предполагаете использовать сторонний фаерволл.

**CINN** · 04.07.2009, 23:25

Сообщение от Bratez

Нет, конечно! Всё было удалено (см. скрипт).
Комп заражался от флэшки, а флэшка - от компа...

Обновления ставьте обязательно. Встроенный брандмауэр Windows включите, если не предполагаете использовать сторонний фаерволл.

Спасибо, так и сделаю...
Прошёлся по вышеуказанному алгоритму скриптом по всем компьютерам. Та зараза, о которой говорил вроде пропала.
Однако один компьютер странно с**я ведёт: видимо при заражении "пропала" сеть, т.е. сетевой адаптер- "неактивный", а значок сети показывает "кабель не подключен". Заразу убрал, но сеть не заработала, в диспетчере оборудования в разделе "Драйверы устройств не Plug&Play" с жёлтыми значками проблемной работы устройство Parport.

Логи проверки прилагаю:

**Bratez** · 05.07.2009, 02:42

Скрипты лечения даются индивидуально, применять их на других компьютерах не следует, т.к. могут быть весьма неприятные последствия!

Отключив антивирус и др. защитные программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('E:\Temp002\key.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-8089914058-5175938767-944313572-4225\sysdate.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-8089914058-5175938767-944313572-4225\sysdate.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\Temp002\key.exe');
 DeleteFile('G:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49258).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**CyberHelper** · 06.07.2009, 02:42

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 38
В ходе лечения вредоносные программы в карантинах не обнаружены

Прошу помощи в удалении заразы(трояны?)... (заявка № 49258)

Опции темы

Прошу помощи в удалении заразы(трояны?)...

Итог лечения

Похожие темы

Прошу помощи в удалении баннера с бонусом.

Прошу помощи в обнаружении и удалении вируса

прошу помощи

Прошу помочь в анализе заразы.

Прошу помощи!!!

Ваши права в разделе