Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей.

[progersa]

Здравствуйте уважаемые безопасники.
В сети, около 40 компов, разгулялись троянцы антивирусы переодически натыкаются на:
IM-Worm.Win32.Chydo.ccq,
not-a-virus:HEUR:AdWare.Script.Generic,
HEUR:Trojan.WinLNK.StartPage.ab.
Trojan.WIn32/Killav
Trojan.WIn32/Popupper
Trojan.WIn32/Dynamer!ac
и др.
Проявление в крайне высокой загрузки оперативы и цп процессами svchost и system, появление в папках файлов rar, exe, bat, scr и др.
Компы в основном очень древние, подавляюще WinXP, поэтому со штатными антивирусами и системными обновлениями очень туго, хотя на более мощных отражающей способности KFA и WinDefender, не хватает. Сканирование kvrt, krd, cureit, drveb, avz, malvarebytes, windows defender отлавливает практически только безобидные кряки.
Есть компы которые крайне нежелательно отключать от сети более чем на 2 часа, всю сеть одновременно положить практически нереально.
Помогите, что можно предпринять, высылаю логи по каждому компу.
Комп №10 Подозрительные файлы и архивы, при открытии документов параллельно открывается непонятный архив

[Info_bot]

Уважаемый(ая) progersa, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог МВАМ

[progersa]

Лог слишком большой, около 2 000 угроз, во вложение не лезет, поэтому зазипил

[thyrex]

Поместите в карантин МВАМ все, КРОМЕ

Код:

PUM.Optional.LowRiskFileTypes, HKU\S-1-5-21-515967899-329068152-1801674531-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6947], [251589],1.0.6019
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6947], [251589],1.0.6019
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6947], [251589],1.0.6019
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6947], [251589],1.0.6019

[progersa]

Все объекты в карантине, если что пускай че лишнее убъется лиж бы зазару сбагрить.
Добавил сводку карантина

[thyrex]

Что с проблемой на данной машине?

[progersa]

Пока будет под наблюдением
Дело в том что все 35 машин в одноранговой сети, 30 из них на WinXP, большинство общается через сетевые диски с проводника windows ("женский коллектив "за 50" переучиванию даже на total не поддается - "мы так привыкли и ничего не меняйте"), накатить на 512 RAM что-либо кроме XP или норм антивируса приводит к тормозам и нервам, на абгрейд денег пока не предвидится. Еще активно используются учетные системы под DOS из-за чего даже машины с 1-2gb RAM невозможно перевести с XP и сетевых дисков.
Выдернуть 17 машин, включая эту из сети на время борьбы крайне трудно, т.к. сильно останавливает работу.
Подскажите, пожалуйста, какую можно всунуть заплатку, чтобы не пошла обратная волна перезаражения? Понимаю что с XP и такой сетью это трудновато, но пока ничего путного достичь не могу.

[thyrex]

Сомнительно, что заплатки для этого есть