Добрый день!
В сети есть файловый сервер с расшареными папки(доступ на запись имеют все пользователи). Сервер инфицирован P2P-Worm.Win32.Palevo.cjsh(OutPost определил как Trojan.Kryptik!CwSAH0NMZ00), как и все машины в сети. Попытка чистки всех компьютеров с помощью LiveCD не увенчалась успехом и было потрачено много времени. Вирус успешно удалял на сервере как OutPost так и Avast, но после подключения к сети происходило повторное заражение, настройки фаерволов не помогали. Цель обращения найти оптимальное способ борьбы конкретно с этим вирусом. Был специально инфицирован компьютер логи с него во вложение.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) wersis, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке: http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
По логу и загруженному архиву у меня больше подозрений нет.
Аномалии еще наблюдаются?
На этом компьютере было:
C:\Documents and Settings\All Users\Application Data\srtserv\1111.exe --- P2P-Worm.Win32.Palevo.cjsh
C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll
а так же попавшие в карантин из папки C:\System Volume Information --- Trojan.Win32.Agent2.decp
Все файлы детектируются и должны удаляться свежескачанными AVPTool или Dr.Web CureIt.
После лечения рекомендую отключить, затем включить Восстановление системы как выше было описано.
P2P-Worm.Win32.Palevo.cjsh - это червь, распространяющийся через пиринговые файлообменные сети.
Описания именно этого экземпляра нет, но есть похожее из этого семейства: http://www.securelist.com/ru/descrip...Win32.Palevo.a
Для предупреждения повторного заражения сервера рекомендую:
Установить все сервиспаки и обновления безопасности для ОС сервера и программ, использующих сеть ( а так же для каждого конкретного компьютера в сети).
Удалить с сервера все пиринговые программы, если они там есть (если нет необходимости в них).
Если в дальнейшем именно с этим компьютером будут проблемы, продолжайте в этой теме.
Для других компьютеров создавайте отдельные темы в этом разделе, для каждого отдельную.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: