-
Junior Member
- Вес репутации
- 54
Помогите удалить вирус Morto.B
Всем привет! Ос win 2003x64r2, антивирус Eset endpoint 5.02214, он его видит блокирует,удаляет но полностью не очищает компютер...тоесть в логах постоянно появляется запись о активизации даного червья(вируса)
логи с ваших програм додаю ниже.
Спасибо! Зарание благодарен!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) anatoliy2004, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
На сервере его в активном состоянии не видно, только хвосты в реестре. Это сетевой червь, я правильно понимаю, антивирус находит его в расшаренных ресурсах?
В первую очередь поменяйте администраторские пароли на сложные, червь их подбирает.
Смотрите в журнале безопасности попытки авторизации, чтобы определить, с каких компьютеров идёт атака.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
-
-
Junior Member
- Вес репутации
- 54
Прикрепляю полный образ автозапуска!
Вот такое пишет в логах антивируса:
21.05.2014 14:14:17 Защита в режиме реального времени файл C:\WINDOWS\Offline Web Pages\cache.txt Win32/Morto.B червь очищен удалением NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\SysWOW64\svchost.exe.
в принципе сообщение появляется каждых 5-10 секунд..
Да перед етим было также замечено левые пользователи в системе...
все были мною удалены + сменены все пароли на те что нужны....пароли поставлены довольно таки сложные.
Сейчас все шары закрою..посмотрю на результат!
Большое спасибо за помощь!
-
Это Вы не то сделали, инструкцию по созданию полного образа автозапуска перечитайте и выполните, процедура может до получаса занять, образ в архиве должен несколько сот килобайт весить.
-
-
Junior Member
- Вес репутации
- 54
ой затупил..извиняюсь!
-
Обновите Java SE 7 Update 45 до 55-го билда, а Opera - до 12.17, это уязвимые версии.
Плохого не видно, как обстановка?
-
-
Junior Member
- Вес репутации
- 54
итак обновил оперу и яву до последних версий..закрыл все шары..
но всеровно:
21.05.2014 16:14:23 Защита в режиме реального времени файл C:\WINDOWS\Offline Web Pages\cache.txt Win32/Morto.B червь очищен удалением NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\SysWOW64\svchost.exe.
Скрин додаю в прикрепленном файле!
Последний раз редактировалось anatoliy2004; 21.05.2014 в 17:49.
-
Если отключить от сети вовсе - что будет?
-
-
Junior Member
- Вес репутации
- 54
Пока спокойно!!! даже при включеном интернете и локалке!!!!! Спасибо!
-
Ищите источник[и] заражения в локалке, проверьте все компьютеры штатным антивирусом со свежими базами, либо Dr. Web Cureit.
-
-
Junior Member
- Вес репутации
- 54
Ок..буду искать...правда я удаленно все это делал..сижу за 150 км от этой локалки
-
О-о, у Вас длинные руки
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-
-
Junior Member
- Вес репутации
- 54
Search for critical vulnerabilities
Frequently used critical vulnerabilities not found.
Походу все нормик!!!!
-
Не расслабляйтесь, пока всю сетку не вычистите.
Последний скрипт универсальный, рабочие станции им тоже проверьте.
Выполните рекомендации после лечения.
-
-
Junior Member
- Вес репутации
- 54
Итак локалки сейчас нету вообще..тоесть комп один стоит и всё !!